Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastung

Thema ist geschlossen!
Thema ist geschlossen!
#0
02.08.2006, 22:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#106 Moshroom

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Anti-Leech ALIE
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\new.net
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\New.net
HKEY_LOCAL_MACHINE\software\new.net
HKEY_CURRENT_USER\Software\New.net
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1
HKEY_LOCAL_MACHINE\SOFTWARE\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ZangoClientAX.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{51CF80DC-A309-4735-BB11-EF18BF4E3AD9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7FA8976F-D00C-4E98-8729-A66569233FB5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}\1.0\0\win32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8BE3FABA-7468-4851-B97C-0750AF2B908E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\zangohook.SABHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56F1D444-11BF-4879-A12B-79CF0177F038}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zango
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{EA0D26BD-9029-431A-86E0-83152D67828A}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BAITRDRGREYSETTINGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetPumper
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\The Save
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSearchWHSE

Files to delete:

C:\WINDOWS\tasks\AEE8A0E291A7512A.job
C:\Programme\WhenUSearch\whse.exe
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTBUninstaller.exe
C:\Programme\NewDotNet\uninstall3_88.exe
C:\WINDOWS\SYSTEM32\winoja32.dll
C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Lokale Einstellungen\Temp\wav57.tmp
C:\Dokumente und Einstellungen\Moshroom.GIZZMO\Lokale Einstellungen\Temp\win10tmp.exe
C:\Dokumente und Einstellungen\Moshroom.GIZZMO\Lokale Einstellungen\Temp\winE.tmp.exe
C:\Dokumente und Einstellungen\Moshroom.GIZZMO\Lokale Einstellungen\Temp\win2EA.tmp.exe
C:\Program Files\Zango Programs\Zango Toolbar\ZangoTB.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**

http://virus-protect.org/invisible.html
Versteckte- und Systemdateien sichtbar machen

boote in den abgesicherten modus (F8 druecken, wenn der Rechner hochfaehrt)

loesche:

D:\Programme\DAEMON Tools -> desinstallieren
D:\TPC\pc.exe
C:\Programme\Save -> desinstallieren
D:\NetPumper
C:\\Programme\WhenUSearch -> desinstallieren
C:\Programme\Anti-Leech -> desinstallieren
C:\Programme\NewDotNet -> desinstallieren
C:\Program Files\Zango Programs
C:\Programme\Gemeinsame Dateien\Totem Shared
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Keepfastbaitrdr
C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\TRAYBO.....-> ist nicht die komplette Bezeichnung)


**
boote wieder in den normalmodus

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
scanne mit counterspy , poste dann den report, vergiss nicht, vorher alles gefundene auf "remove" zu andern
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.08.2006, 13:42
Member

Beiträge: 13
#107 Hallo Sabina,

ich hab Mist gebaut, war etwas zu schnell mit dem in Abgesicherten Modus starten und habe daher den Avenger Log nicht mehr. Was soll ich machen um da wieder dran zu kommen?

Hier die Auswertung vom Spyware Scan mit CouterSpy:

Spyware Scan Details
Start Date: 03.08.2006 11:45:49
End Date: 03.08.2006 13:29:13
Total Time: 1 hrs 43 mins 24 secs

Detected spyware

NetPumper Adware Bundler more information...
Details: Bundles with a number of adware components.
Status: Deleted

Infected files detected
c:\dokumente und einstellungen\stephan.gizzmo.001\anwendungsdaten\netpumper\stephan.ini

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro\Firstrun state 2
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro state 2
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro pkid lemildi
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro alid lemildi
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper\Affiliated\Pro iid {1FB023EF-82C7-4C59-BA41-2871BBCC28CA}
HKEY_LOCAL_MACHINE\SOFTWARE\NetPumper VersionInfo srmRny83UksASqE3L24cc-BLldNa86g++fJgAujn3ERa2A7cUKZ6EIRRo6RZZS6EBHLmeJ98
VI7CZG453N82453Ln7f-fhu4j0ony8eRCXoFwrS9d6PiGR4JqU8EoEdslj3Dwcju40stxe+LtRMCtOpQp
WKMJtVNYVo5wQ-UvWqxXhDKvCK+2Vfe5l08mn15E4nQaa-C4UQc
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B}\TypeLib Version 1.2
HKEY_CLASSES_ROOT\Interface\{A8B0F390-E6BF-4027-A4D4-1E4363F5E27B} IAddUrl
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib {1145A909-A836-44B8-B03A-48D858B0F43E}
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000}\TypeLib Version 1.2
HKEY_CLASSES_ROOT\Interface\{A9E33220-0B05-11D7-88D2-444553540000} IAddPackage
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib {F7258F6E-9F60-49C0-8C82-F0A0993D68E0}
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{E0ABBF96-17DC-44CA-96D0-6217064A97BA} INetscapeInterface
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\0\win32 d:\NetPumper\NetPumperNNProxy.dll
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0\HELPDIR d:\NetPumper\
HKEY_CLASSES_ROOT\TypeLib\{F7258F6E-9F60-49C0-8C82-F0A0993D68E0}\1.0 NetPumperNNProxy Library
HKEY_CURRENT_USER\Software\NetPumper
HKEY_CURRENT_USER\Software\NetPumper\stephan Field1 356379860
HKEY_CURRENT_USER\Software\NetPumper\stephan Field2 654996921
HKEY_CURRENT_USER\Software\NetPumper\stephan Field3 1282532412
HKEY_CURRENT_USER\Software\NetPumper\stephan Field4 1475139413


AntiLeech Plugin Adware (General) more information...
Details: Plugin is an Ad-Ware software which enables the broadcasting of advertisements, and execution of e-commerce and other internet related services on the user-interface of the software.
Status: Deleted

Infected files detected
C:\Programme\Mozilla Firefox\plugins\al2np.dll


Unclassified.Spyware.Loader Adware (General) more information...
Details: Spyware.Loader is spyware that is set to automatically start when Windows loads up by hiding itself in a number of different startup locations.
Status: Deleted

Infected files detected
D:\AI - Series\insthlp.dat


Fake Back Orifice 0.41 Trojan more information...
Status: Deleted

Infected files detected
E:\Downloads\Treiber\Teledat2ab\Linux\CAPI4Linux\fc-generic-1.06a.tar\
capi4linux\src.c4lutils\capiinfo\aclocal.m4
E:\Downloads\Treiber\Teledat2ab\Linux\
CAPI4Linux\fc-generic-1.06a.tar\capi4linux\src.c4lutils\capiinit\aclocal.m4


WhenU.Save Adware (General) more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\wusn.1
HKEY_CLASSES_ROOT\wusn.1 WUSN_Id


WhenU.WhenUSearch Low Risk Adware more information...
Details: WhenU.WhenUSearch is a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\WUSN.1
HKEY_CLASSES_ROOT\WUSN.1 WUSN_Id


WindUpdates.MediaGateway Adware (General) more information...
Details: WindUpdates.MediaGateway is an adware application that displays advertising on the desktop, usually pop-ups.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller
HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller\CLSID {144B9C7E-235A-4316-9EB3-5E393714C77A}
HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller\CurVer MediaGateway.LicenseInstaller.1
HKEY_CLASSES_ROOT\MediaGateway.LicenseInstaller LicenseInstaller Class


Zango.CommonElements Adware (General) more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\LMgr180.WMDRMAx.1
HKEY_CLASSES_ROOT\LMgr180.WMDRMAx.1\CLSID {F31A5D11-BF0B-4A4E-90AF-274F2090AAA6}
HKEY_CLASSES_ROOT\LMgr180.WMDRMAx.1 WMDRMAx Class


Trojan.WinlogonHook.Delf.A Trojan more information...
Details: WinlogonHook.Delf.A is a backdoor trojan that gives an attacker the ability to control the infected machine without the user's knowledge.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Data 95824242
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Brnd 779
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR Rid 141
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR LID 34
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SCLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR MSLIST
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR SSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR BPTV 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR PSTV
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR OCCUR 1


Trojan-Downloader.Win32.VB.ahc Trojan Downloader more information...
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Security Security
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Enum 0 Root\LEGACY_XPROTECTOR\0000
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Enum Count 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR\Enum NextInstance 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR Type 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR Start 2
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR ErrorControl 1
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR ImagePath \??\C:\WINDOWS\system32\drivers\XPROTECTOR.SYS
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XPROTECTOR DisplayName XPROTECTOR

Gruß,
Moshroom
Seitenanfang Seitenende
03.08.2006, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#108 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

XPROTECTOR

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.08.2006, 19:14
Member

Beiträge: 13
#109 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 03.08.2006 19:12:20 for strings:
; 'xprotector'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR\0000]
"Service"="XPROTECTOR"
"DeviceDesc"="XPROTECTOR"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR\0000]
"Service"="XPROTECTOR"
"DeviceDesc"="XPROTECTOR"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR]
; Contents of value:
; \??\c:\windows\system32\drivers\xprotector.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,72,69,76,65,72,73,5c,58,50,52,4f,54,45,43,54,4f,52,2e,53,59,\
53,00
"DisplayName"="XPROTECTOR"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR\0000]
"Service"="XPROTECTOR"
"DeviceDesc"="XPROTECTOR"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR\0000\LogConf]

; End Of The Log...
Seitenanfang Seitenende
03.08.2006, 22:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#110 Moshroom

Avenger:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR

Files to delete:

c:\windows\system32\drivers\xprotector.sys
poste das log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2006, 06:46
Member

Beiträge: 13
#111 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\knoqfgxn

*******************

Script file located at: \??\C:\WINDOWS\lyxaofwv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_XPROTECTOR deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_XPROTECTOR deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\XPROTECTOR deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XPROTECTOR
Status: 0xc0000034

File c:\windows\system32\drivers\xprotector.sys deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
04.08.2006, 11:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#112 Moshroom

1.
mache einen Onlinescan mit Ewido und mit Bitdefender - ScanOnline neu (poste die reporte)
http://virus-protect.org/onlinescan.html

2.
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2006, 04:12
Member

Beiträge: 13
#113 Hm, das hat gedauert. Also hier erstmal der Ewido:

__________________________________________________


Name: Adware.180Solutions
Path: HKU\S-1-5-21-1343024091-789336058-2147197619-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
{EA0D26BD-9029-431A-86E0-83152D67828A}
Risk: Medium

Name: TrackingCookie.Falkag
Path: :mozilla.20:C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Mozilla\Firefox\Profiles\default.54q\cookies.txt
Risk: Medium


Name: TrackingCookie.Adition
Path: :mozilla.20:C:\Dokumente und Einstellungen\skasdorf.GIZZMO\Anwendungsdaten\Mozilla\Firefox\Profiles\meoxvrl9.default\cookies.txt
Risk: Medium

Name: Trojan.Proxcrak.A
Path: E:\Downloads\Apps\DownloadTool\patchGETRIght4.5c.exe
Risk: High

Name: Trojan.Proxcrak.A
Path: E:\Downloads\Apps\GetRight\patchGETRIght4.5c.exe
Risk: High

Name: Trojan.Proxcrak.A
Path: E:\Downloads\Apps\GetRight\patchGETRIght4.5c.exe
Risk: High

Dann der BitDefender:
BitDefender Online Scanner

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0015


Infected with: Trojan.Dloader.HK

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0015


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0015


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0016


Infected with: Dropped:Application.Adware.NewDotNet.A

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0016


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0016


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0017


Infected with: Trojan.Dropper.Small.JH

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0017


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0017


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0025


Infected with: Trojan.Downloader.Wren.D

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0025


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe=>wise0025


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\100millionyearsago.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0017


Infected with: Trojan.Dloader.HK

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0017


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0017


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0018


Infected with: Dropped:Application.Adware.NewDotNet.A

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0018


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0018


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0021


Infected with: Trojan.Dropper.Small.JH

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0021


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe=>wise0021


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\3daquaclock.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0015


Infected with: Trojan.Dloader.HK

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0015


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0015


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0016


Infected with: Dropped:Application.Adware.NewDotNet.A

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0016


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0016


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0017


Infected with: Trojan.Dropper.Small.JH

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0017


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0017


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0025


Infected with: Trojan.Downloader.Wren.D

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0025


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe=>wise0025


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\underthesea3d.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0017


Infected with: Trojan.Dloader.HK

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0017


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0017


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0018


Infected with: Dropped:Application.Adware.NewDotNet.A

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0018


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0018


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0021


Infected with: Trojan.Dropper.Small.JH

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0021


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe=>wise0021


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\screensaver\xtrahot.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0018


Infected with: Trojan.Dloader.HK

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0018


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0018


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe


Update failed

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0019


Infected with: Dropped:Application.Adware.NewDotNet.A

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0019


Disinfection failed

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe=>wise0019


Deleted

C:\Programme\TGTSoftBAK\tgtstyle\boot\58887\58887.exe


Update failed

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16)=>[Subject: W32.Klez.E removal tools][Date: Mon, 22 Jul 2002 08:39:02 +0200 (DST)]=>(MIME part)=>setup.exe


Infected with: Win32.Klez.H@mm

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16)=>[Subject: W32.Klez.E removal tools][Date: Mon, 22 Jul 2002 08:39:02 +0200 (DST)]=>(MIME part)=>setup.exe


Deleted

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16)=>[Subject: W32.Klez.E removal tools][Date: Mon, 22 Jul 2002 08:39:02 +0200 (DST)]=>(MIME part)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 16)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx


Update failed

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19)=>[Subject: A special humour game][Date: Wed, 17 Jul 2002 12:11:29 +0200]=>(MIME part)=>install.exe


Infected with: Win32.Klez.H@mm

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19)=>[Subject: A special humour game][Date: Wed, 17 Jul 2002 12:11:29 +0200]=>(MIME part)=>install.exe


Deleted

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19)=>[Subject: A special humour game][Date: Wed, 17 Jul 2002 12:11:29 +0200]=>(MIME part)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 19)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx


Update failed

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20)=>[Subject: Undeliverable mail--"cbc, cbf"][Date: Wed, 17 Jul 2002 16:54:34 +0200 (DST)]=>(MIME part)=>BGCOLOR.scr


Infected with: Win32.Klez.H@mm

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20)=>[Subject: Undeliverable mail--"cbc, cbf"][Date: Wed, 17 Jul 2002 16:54:34 +0200 (DST)]=>(MIME part)=>BGCOLOR.scr


Deleted

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20)=>[Subject: Undeliverable mail--"cbc, cbf"][Date: Wed, 17 Jul 2002 16:54:34 +0200 (DST)]=>(MIME part)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 20)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx


Update failed

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30)=>[Subject: A very new website][Date: Sat, 13 Jul 2002 16:23:59 +0200]=>(MIME part)=>width.bat


Infected with: Win32.Klez.H@mm

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30)=>[Subject: A very new website][Date: Sat, 13 Jul 2002 16:23:59 +0200]=>(MIME part)=>width.bat


Deleted

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30)=>[Subject: A very new website][Date: Sat, 13 Jul 2002 16:23:59 +0200]=>(MIME part)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx=>(message 30)


Updated

C:\Dokumente und Einstellungen\stephan\Anwendungsdaten\Identities\{15AB2224-E1E4-4088-8533-A082CE0D2065}\Microsoft\Outlook Expres\Gelöschte Objekte.dbx


Update failed

C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
javainstaller.jar-5aa0b436-6a558f26.zip


Infected with: Trojan.Downloader.Java.Openstream.W

C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\
javainstaller.jar-5aa0b436-6a558f26.zip


Disinfection failed

C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\
jar\javainstaller.jar-5aa0b436-6a558f26.zip


Deleted

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6
ja_20040901_BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>
mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part)=>(message body)


Infected with: Exploit.HTML.Iframe.FileDownload.E

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_20040901_
BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>
mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part)=>(message body)


Disinfection failed

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_200409
01_BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(g
zip)=>mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part)=>(message body)


Deleted

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-
2.1.5-6ja_20040901_BQ1.src.rpm=>mailman
-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)=>(MIME part)


Updated

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-
2.1.5-6ja_20040901_BQ1.src.rpm=>m
ailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip)=>mailman-2.1.5/tests
/msgs/nimda.txt=>[Subject: C:\WINNT\mmc.exebqinsghtmstaskicwconnh][Date: Wed, 19 Sep 2001 10:54:11 +0900 (JST)]=>(MIME part)


Updated

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_20040901_BQ
1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip
)=>mailman-2.1.5/tests/msgs/nimda.txt


Updated

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-20
04122501.iso=>SRPMS/mailman-2.1.5-6ja_20040901_BQ1.src.rpm=>mailman-2.1.5
-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz=>(gzip)


Updated

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja
_20040901_BQ1.src.rpm=>
mailman-2.1.5-6ja_20040901_BQ1.gz=>(gzip)=>mailman-2.1.5.tgz


Updated

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1.5-6ja_
20040901_BQ1.src.rpm=>mailman
-2.1.5-6ja_20040901_BQ1.gz=>(gzip)


Updated

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman-2.1
.5-6ja_20040901_BQ1.src.rpm=>mailman-2.1.5-6ja_20040901_BQ1.gz


Updated

E:\Downloads\Apps\BlueQuartz\BlueQuartz-5100R-2004122501.iso=>SRPMS/mailman
-2.1.5-6ja_20040901_BQ1.src.rpm


Update failed

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0147


Infected with: Trojan.Mirchack.A

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0147


Disinfection failed

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0147


Deleted

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)


Update failed

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0159


Infected with: Backdoor.Irc.Lambot.G

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0159


Disinfection failed

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)=>zlib_nsis0159


Deleted

E:\Downloads\Apps\gIRC\girc32.exe=>(NSIS o)


Update failed

E:\System Volume Information\_restore{994182DF-42DF-410C-A5E4-73367948100E}\RP138\A0022160.exe


Infected with: Trojan.Downloader.INService.Gen

E:\System Volume Information\_restore{994182DF-42DF-410C-A5E4-73367948100E}\RP138\A0022160.exe


Disinfection failed

E:\System Volume Information\_restore{994182DF-42DF-410C-A5E4-73367948100E}\RP138\A0022160.exe

Neuer Hijackthis log
-------------------

Logfile of HijackThis v1.99.1
Scan saved at 03:02:15, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Programme\Windows NT\HYPERTRM.EXE
C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Desktop\antiVirus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://germanitas-obscura.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\adobe\acrobat\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151160629975
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Win2k3NodeDisabler - Unknown owner - C:\Dokumente und Einstellungen\stephan.GIZZMO.001\Desktop\X3ReunionUKDVD\Tools\Win2k3NodeDisabler\
Win2k3NodeDisabler.exe (file missing)

MfG,
Moshroom
Seitenanfang Seitenende
05.08.2006, 12:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#114 Moshroom

0.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

1.
ueberpruefe, ob das komplett geloscht ist:

C:\Programme\TGTSoftBAK
E:\Downloads\Apps\DownloadTool
E:\Downloads\Apps\gIRC

2.
so kann man die Mails restlos aus der Inbox zu entfernen:
1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{EA0D26BD-9029-431A-86E0-83152D67828A}

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Win2k3NodeDisabler

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2006, 17:06
Member

Beiträge: 13
#115 1.) Die Verzeichnisse habe ich gelöscht bis auf TGTSoftBAK, das sind Backups von mir. Da habe teilweise Projekte reingespeichert und die wollte ich eigentlich nicht nochmal programmieren. Aber wenn es tröstet ich hab die fertig kompilierten *.exe Dateien aus dem Ordner gelöscht und werde die dann bei Gelegenheit neu kompilieren.

2.) Die Mailbox ist aufgeräumt.

3.) ein mal
--------
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05.08.2006 16:45:15 for strings:
; '{ea0d26bd-9029-431a-86e0-83152d67828a}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

zwei mal
--------
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05.08.2006 16:47:27 for strings:
; 'regedit4

; registry search 2.0 by bobbi flekman © 2005
; version: 2.0.1.0

; results at 05.08.2006 16:45:15 for strings:
; '{ea0d26bd-9029-431a-86e0-83152d67828a}'
; strings excluded from search:
; (none)
; search in:
; registry keys registry values registry data
; hkey_local_machine hkey_users

win2k3nodedisabler
'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Thanks Moshroom
Seitenanfang Seitenende
05.08.2006, 20:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#116 Moshroom

nun gut, es ist alles wieder o.k. , bist entlassen, komm wieder, wenn es Probleme gibt ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2006, 23:24
Member

Beiträge: 13
#117 S U P E R ! ! !

Mein System hängt nicht mehr, ist viel angenehmer so.

Dickes Danke und grosses Lob und wenn ich wieder nen bischen Kohle in der Tasche habe, werde ich dass auf jeden Fall zu würdigen wissen.

Gruß,
Moshroom
Seitenanfang Seitenende
16.08.2006, 00:33
...neu hier

Beiträge: 8
#118 Hallo!!!

Ich habe leider auch das Problem und bevor ich mein PC neu machen soll. Versuch ich es mal hier...vielleicht könnt ihr mir helfen. Wäre toll.

------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 00:29:36, on 16.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
E:\Programme\D-Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\{EC6ABA6F-0A71-1031-0816-020208060031}\Update.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
E:\Programme\BirthdayRemember\BirthdayRemember.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Teledat\IWatch.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\xampp\apache\bin\apache.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Programme\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\TEMP\win4.tmp.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\PROGRAMME\FIREFOX\FIREFOX.EXE
G:\Download\Anti Virus\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /M "Stylus Photo R200" /EF "HKCU"
O4 - HKCU\..\Run: [BirthdayRemember6] "E:\Programme\BirthdayRemember\BirthdayRemember.exe" "autostart"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [boneshow] C:\DOKUME~1\Admin\ANWEND~1\LIVEMF~1\FileVga.exe
O4 - Global Startup: ISDNWatch.lnk = E:\Programme\Teledat\IWatch.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\Outlook\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe (file missing)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120806754637
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A94E21AE-E7A3-42CF-A2EB-172E994933AD}: NameServer = 217.237.149.225 217.237.151.115
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - E:\Programme\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - E:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - E:\Programme\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - E:\Programme\xampp\mysql\bin\mysqld-nt.exe

-----------------------------------------------------------------------------

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\WINDOWS\system32

16.08.2006 00:21 311.178 tttss.ini
16.08.2006 00:05 9.596 ModemLog_ISDN Internet (PPP over ISDN).txt
15.08.2006 13:22 9.022 ModemLog_ISDN Custom Config.txt
15.08.2006 12:49 308.309 tttss.bak2
15.08.2006 12:48 2.206 wpa.dbl
14.08.2006 00:11 143 mcrh.tmp
09.08.2006 17:51 0 cool.exe

06.08.2006 23:49 43.520 CmdLineExt03.dll
06.08.2006 23:41 267.990 tttss.bak1
06.08.2006 23:40 573.492 ssttt.dll
06.08.2006 23:32 40.973 iifccyy.dll
06.08.2006 23:32 18.944 winemx32.dll

03.08.2006 03:22 8.255.912 MRT.exe
02.08.2006 02:57 320.094 perfh007.dat
02.08.2006 02:57 314.508 perfh009.dat
02.08.2006 02:57 40.836 perfc009.dat
02.08.2006 02:57 49.174 perfc007.dat
02.08.2006 02:57 729.988 PerfStringBackup.INI
29.07.2006 19:32 48.936 sirenacm.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
23.07.2006 17:16 57.384 avsda.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
07.07.2006 14:55 155.568 FNTCACHE.DAT
06.07.2006 16:35 455 ws344069.ocx
06.07.2006 16:22 3.176 gafilter.sti
06.07.2006 16:22 4.808 gaeffect.sti
05.07.2006 12:55 1.057.792 kernel32.dll
01.07.2006 14:54 96.256 ATPartners.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 12:47 181.248 rasmans.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
04.05.2006 14:30 13 WinSys32.crc


---------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp

16.08.2006 00:05 16.384 Perflib_Perfdata_2728.dat
15.08.2006 12:57 824 jusched.log
15.08.2006 12:47 0 ~8.tmp
14.08.2006 15:17 0 ~6.tmp
14.08.2006 01:36 862 java_install_reg.log
14.08.2006 01:31 0 ~2.tmp
14.08.2006 01:05 42.071 11xp4yto.exe
13.08.2006 20:57 0 ~1.tmp

8 Datei(en) 60.141 Bytes
0 Verzeichnis(se), 12.869.947.392 Bytes frei


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\WINDOWS

15.08.2006 12:48 0 0.log
15.08.2006 12:48 159 wiadebug.log
15.08.2006 12:48 1.989.205 WindowsUpdate.log
15.08.2006 12:47 50 wiaservc.log
15.08.2006 12:47 2.048 bootstat.dat
15.08.2006 01:51 32.402 SchedLgU.Txt
09.08.2006 00:34 30 Iedit.INI
02.08.2006 22:55 821 WINCMD.INI
29.07.2006 17:56 951 win.ini
27.07.2006 23:41 12.862 EPISMG00.SWB
06.07.2006 16:35 326 ULEAD32.INI
06.07.2006 16:20 125 magix.ini
28.06.2006 02:08 116 NeroDigital.ini
22.06.2006 19:16 0 Editor.INI
10.06.2006 14:21 90.112 DUMP9402.tmp
10.06.2006 13:16 90.112 DUMP95a8.tmp
10.06.2006 13:14 90.112 DUMP971f.tmp
10.06.2006 13:13 90.112 DUMP973e.tmp
10.06.2006 13:07 90.112 DUMPa364.tmp
04.05.2006 22:35 339 wcx_ftp.ini


----------------------------------------------------------------------------


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\

16.08.2006 00:28 0 sys.txt
16.08.2006 00:27 6.322 system.txt
16.08.2006 00:26 633 systemtemp.txt
15.08.2006 12:47 402.653.184 pagefile.sys
06.07.2006 16:35 457 os466477.bin


---------------------------------------------------------------------------

So vielleicht kann jemand damit etwas anfangen.

Was muss ich jetzt machen?

Danke schon mal für eure hilfe.

Gruß LaLaLand
Seitenanfang Seitenende
16.08.2006, 12:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#119 LaLaLand

1. Schritt:
schreibe mir, welche dll du rechts oder links im Fenster findest:

LSPfix
http://www.spychecker.com/program/lspfix.html

2. Schritt:
poste dieses Log
http://virus-protect.org/artikel/tools/combofix.html

3. Schritt:
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\tasks" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{EC6ABA6F-0A71-1031-0816-020208060031}" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 12:41
...neu hier

Beiträge: 8
#120 Danke das du mir hilfst.

zu 1.

mswsock.dll
winrnr.dll
NEWDOT~1.DLL
rsvpsp.dll

Steht alles Links

zu 2.

Start Time= 16.08.2006 12:40:16,65
Running from: C:\Dokumente und Einstellungen\Admin\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-10 00:06:06 ( .D... ) "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype"
2006-08-10 00:05:58 ( .D... ) "C:\Programme\Skype"
2006-08-09 17:51:20 0 ( A.... ) "C:\WINDOWS\system32\cool.exe"
2006-08-09 04:17:00 ( .D... ) "C:\Programme\Livemfcdroad"
2006-08-09 04:16:04 ( .D... ) "C:\Programme\Adverts"
2006-08-06 23:49:42 43520 ( A.... ) "C:\WINDOWS\system32\CmdLineExt03.dll"
2006-08-06 23:40:56 573492 ( ..SH. ) "C:\WINDOWS\system32\ssttt.dll"
2006-08-06 23:32:54 ( .D... ) "C:\Programme\ToolBar888"
2006-08-06 23:32:54 ( .D... ) "C:\Programme\Gemeinsame Dateien\{EC6ABA6F-0A71-1031-0816-020208060031}"
2006-08-06 23:32:32 40973 ( ..SH. ) "C:\WINDOWS\system32\iifccyy.dll"
2006-08-06 23:32:24 18944 ( A.... ) "C:\WINDOWS\system32\winemx32.dll"
2006-07-29 19:32:50 48936 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll"
2006-07-27 15:25:20 679424 ( A.... ) "C:\WINDOWS\system32\inetcomm.dll"
2006-07-23 17:16:30 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-07-21 10:29:00 72704 ( A.... ) "C:\WINDOWS\system32\hlink.dll"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-07-13 15:34:28 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll"
2006-07-05 12:55:22 1057792 ( A.... ) "C:\WINDOWS\system32\kernel32.dll"
2006-07-01 14:54:44 96256 ( A.... ) "C:\WINDOWS\system32\ATPartners.dll"
2006-06-26 19:40:34 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-06-26 19:40:34 8192 ( A.... ) "C:\WINDOWS\system32\rasadhlp.dll"
2006-06-19 16:20:42 702768 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2005-07-08 09:02:22 76 ( A..H. ) "C:\Programme\Desktop.ini"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-09 14:53 0 C:\WINDOWS\system32\cool.exe
2006-08-06 23:48 43.520 C:\WINDOWS\system32\CmdLineExt03.dll
2006-08-06 23:37 573.492 C:\WINDOWS\system32\ssttt.dll
2006-08-06 23:32 40.973 C:\WINDOWS\system32\iifccyy.dll
2006-08-06 23:32 18.944 C:\WINDOWS\system32\winemx32.dll
2006-08-03 01:01 90.112 C:\WINDOWS\unvise32.exe
2006-07-29 19:32 48.936 C:\WINDOWS\system32\sirenacm.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMan"="SOUNDMAN.EXE"
"LVCOMS"="C:\\Programme\\Gemeinsame Dateien\\Logitech\\QCDriver2\\LVCOMS.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"DAEMON Tools-1033"="\"E:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"EPSON Stylus Photo R200 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0H2.EXE /P30 \"EPSON Stylus Photo R200 Series\" /M \"Stylus Photo R200\" /EF \"HKCU\""
"BirthdayRemember6"="\"E:\\Programme\\BirthdayRemember\\BirthdayRemember.exe\" \"autostart\""
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"boneshow"="C:\\DOKUME~1\\Admin\\ANWEND~1\\LIVEMF~1\\FileVga.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{EC6ABA6F-0A71-1031-0816-020208060031}"="\"C:\\Programme\\Gemeinsame Dateien\\{EC6ABA6F-0A71-1031-0816-020208060031}\\Update.exe\" mc-110-12-0000272"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,3e,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Microsoft Office Shortcut-Leiste.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Microsoft Office Shortcut-Leiste.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office Shortcut-Leiste.lnkStartup"
"location"="Startup"
"command"="E:\\PROGRA~1\\MICROS~1\\Office\\MSOFFICE.EXE "
"item"="Microsoft Office Shortcut-Leiste"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Microsoft-Indexerstellung.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Microsoft-Indexerstellung.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft-Indexerstellung.lnkStartup"
"location"="Startup"
"command"="E:\\PROGRA~1\\MICROS~1\\Office\\FINDFAST.EXE "
"item"="Microsoft-Indexerstellung"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Office-Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Office-Start.lnk"
"backup"="C:\\WINDOWS\\pss\\Office-Start.lnkStartup"
"location"="Startup"
"command"="E:\\PROGRA~1\\MICROS~1\\Office\\OSA.EXE -b"
"item"="Office-Start"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^SmartSurfer.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\SmartSurfer.lnk"
"backup"="C:\\WINDOWS\\pss\\SmartSurfer.lnkStartup"
"location"="Startup"
"command"="E:\\PROGRA~1\\WEBDE\\SMARTS~1.0\\SMARTS~1.EXE -m"
"item"="SmartSurfer"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk"
"backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\PROGRA~1\\Logitech\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start"
"item"="Logitech Desktop Messenger"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\PROGRA~1\\MICROS~1\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"e:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus Photo R200 Series]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="E_S4I0H2"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0H2.EXE /P30 \"EPSON Stylus Photo R200 Series\" /O5 \"LPT1:\" /M \"Stylus Photo R200\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WeatherCast]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Weather"
"hkey"="HKCU"
"command"="\"C:\\Programme\\WeatherCast\\Weather.exe\" /q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTouch"
"hkey"="HKLM"
"command"="E:\\Programme\\Logitech\\iTouch\\iTouch.exe"
"inimapping"="0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableTaskMgr REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\985C0F89931FD9B9.job

Completion time: 16.08.2006 12:40:38,10
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt


zu 3.

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Windows\tasks

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Programme\Gemeinsame Dateien\{EC6ABA6F-0A71-1031-0816-020208060031}

06.08.2006 23:32 <DIR> .
06.08.2006 23:32 <DIR> ..
26.07.2006 15:37 4.608 services.dll
1 Datei(en) 4.608 Bytes
2 Verzeichnis(se), 12.927.107.072 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Windows\System32\Com

11.10.2005 23:51 <DIR> .
11.10.2005 23:51 <DIR> ..
26.07.2005 06:39 195.072 comadmin.dll
18.08.2001 14:00 61.440 comempty.dat
18.08.2001 14:00 77.348 comexp.msc
04.08.2004 00:57 9.728 comrepl.exe
18.08.2001 14:00 5.120 comrereg.exe
18.08.2001 14:00 19.456 mtsadmin.tlb
6 Datei(en) 368.164 Bytes
2 Verzeichnis(se), 12.927.102.976 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.08.2005 16:48 495 LegitCheckControl.inf
29.05.2003 16:00 160.864 messengerstatsclient.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
29.05.2003 16:00 84.064 minesweeper.dll
29.05.2003 16:00 77.408 msgrchkr.dll
08.12.2003 13:58 3.759 swflash.inf
11.08.2004 02:22 3.036 wmv9dmo.inf
26.05.2005 04:19 291 wuweb.inf
8 Datei(en) 331.079 Bytes
0 Verzeichnis(se), 12.927.102.976 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Programme\Common Files

09.08.2005 16:45 <DIR> .
09.08.2005 16:45 <DIR> ..
09.08.2005 16:45 <DIR> System
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 12.927.102.976 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp

16.08.2006 12:40 <DIR> .
16.08.2006 12:40 <DIR> ..
16.08.2006 12:31 16.384 Perflib_Perfdata_dc0.dat
1 Datei(en) 16.384 Bytes
2 Verzeichnis(se), 12.927.102.976 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\WINDOWS\Temp

16.08.2006 12:40 <DIR> .
16.08.2006 12:40 <DIR> ..
16.08.2006 11:13 0 winB.tmp
16.08.2006 11:19 0 winD.tmp
2 Datei(en) 0 Bytes
2 Verzeichnis(se), 12.927.102.976 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Programme

16.08.2006 00:19 <DIR> .
16.08.2006 00:19 <DIR> ..
10.07.2005 23:32 <DIR> Accoona
09.08.2006 04:16 <DIR> Adverts
18.05.2006 10:56 <DIR> AntiVir PersonalEdition Classic
07.06.2005 22:23 <DIR> ATI Technologies
09.08.2005 16:45 <DIR> Common Files
07.06.2005 22:11 <DIR> ComPlus Applications
22.04.2006 16:14 <DIR> CyberLink
09.06.2005 17:04 <DIR> directx
10.08.2005 17:23 <DIR> eMPIA
10.08.2005 17:23 <DIR> EMUSB2.0
22.05.2006 16:27 <DIR> EPSON
26.07.2005 19:07 <DIR> EPSON Print CD
09.08.2006 18:43 <DIR> Gemeinsame Dateien
02.11.2005 19:23 <DIR> ICQLite
10.08.2006 01:07 <DIR> Internet Explorer
20.02.2006 23:33 <DIR> Java
17.03.2006 02:00 <DIR> JavaSoft
09.08.2006 04:16 <DIR> Livemfcdroad
09.08.2006 21:23 <DIR> Macrogaming
03.11.2005 23:03 <DIR> Messenger
07.06.2005 22:15 <DIR> microsoft frontpage
10.06.2005 17:48 <DIR> Microsoft Visual Studio
10.08.2005 17:10 <DIR> Movie Maker
07.06.2005 22:11 <DIR> MSN Gaming Zone
14.08.2006 00:58 <DIR> MSN Messenger
10.11.2005 01:24 <DIR> MSNTools
02.03.2006 21:05 <DIR> MySQL
20.08.2005 17:59 <DIR> NetMeeting
04.10.2005 03:02 <DIR> NewDotNet
07.06.2005 22:13 <DIR> Online-Dienste
18.04.2006 00:37 <DIR> Outlook Express
10.08.2006 00:05 <DIR> Skype
05.10.2005 19:20 <DIR> SP2 Connection Patcher
07.07.2005 21:06 <DIR> TGTSoft
06.08.2006 23:32 <DIR> ToolBar888
18.02.2006 18:25 <DIR> Windows Media Player
10.08.2005 17:08 <DIR> Windows NT
03.03.2006 01:48 <DIR> xampp
07.06.2005 22:15 <DIR> xerox
0 Datei(en) 0 Bytes
41 Verzeichnis(se), 12.927.098.880 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten

10.07.2005 21:30 <DIR> Ahead
06.08.2006 19:52 28.672 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
21.07.2006 00:25 35.528 GDIPFONTCACHEV1.DAT
02.08.2005 03:17 <DIR> GHISLER
02.03.2006 03:04 <DIR> Help
07.06.2005 22:58 <DIR> Identities
09.08.2006 03:40 <DIR> Microsoft
05.12.2005 02:53 <DIR> Mozilla
14.09.2005 14:27 <DIR> Pixoria
27.07.2005 21:23 <DIR> Teledat
12.03.2006 02:26 <DIR> WMTools Downloaded Files
2 Datei(en) 64.200 Bytes
9 Verzeichnis(se), 12.927.098.880 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Dokumente und Einstellungen\Admin\Anwendungsdaten

23.10.2005 20:28 <DIR> BirthdayRemember
09.08.2006 04:17 <DIR> Close Curb Safe
21.04.2006 01:06 <DIR> CyberLink
03.11.2005 03:05 <DIR> Desktop Sidebar
09.08.2005 02:31 <DIR> DMCache
07.06.2005 22:29 <DIR> Help
02.11.2005 19:20 <DIR> ICQLite
07.06.2005 22:21 <DIR> Identities
03.03.2006 02:45 <DIR> Itsth
09.08.2006 04:18 <DIR> Livemfcdroad
08.06.2005 17:02 <DIR> Macromedia
03.03.2006 02:26 9.356 Microsoft Excel.EML
09.08.2005 03:26 <DIR> Mozilla
25.06.2006 23:23 <DIR> My Games
03.03.2006 00:05 <DIR> MySQL
04.05.2006 22:06 <DIR> PSpad
08.07.2005 03:00 <DIR> Real
11.08.2006 23:45 <DIR> Skype
09.03.2006 05:19 <DIR> Star-Tools
24.10.2005 01:59 <DIR> Sun
07.06.2005 22:42 <DIR> T-Online
09.08.2005 04:19 <DIR> Talkback
27.07.2005 21:23 <DIR> Teledat
12.01.2006 20:55 <DIR> Ulead Systems
22.04.2006 16:17 <DIR> vlc
30.07.2005 04:13 <DIR> WEBDE
1 Datei(en) 9.356 Bytes
25 Verzeichnis(se), 12.927.098.880 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

17.02.2006 01:21 305 addr_file.html
16.08.2006 12:31 <DIR> AntiVir PersonalEdition Classic
22.04.2006 16:14 <DIR> CyberLink
22.05.2006 15:52 <DIR> eachsettings1five
11.10.2005 20:13 <DIR> QuickTime
16.08.2006 12:34 <DIR> Show sect stupid anti
02.03.2006 04:04 <DIR> T-Online
10.08.2006 23:59 <DIR> Teledat
27.07.2005 21:16 <DIR> UDL
12.01.2006 20:54 <DIR> Ulead Systems
10.08.2005 20:54 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
10 Verzeichnis(se), 12.927.094.784 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: EC6A-BA6F

Verzeichnis von C:\Programme\Gemeinsame Dateien

09.08.2006 18:43 <DIR> .
09.08.2006 18:43 <DIR> ..
14.09.2005 02:28 <DIR> Adobe
08.06.2005 20:28 <DIR> Ahead
10.06.2005 17:48 <DIR> DESIGNER
07.06.2005 22:12 <DIR> Dienste
18.07.2005 20:35 <DIR> InstallShield
24.10.2005 01:04 <DIR> Java
10.08.2005 03:22 <DIR> Logitech
10.08.2005 03:18 <DIR> Microsoft Shared
07.06.2005 22:12 <DIR> MSSoap
07.06.2005 23:06 <DIR> ODBC
08.07.2005 02:58 <DIR> Real
07.06.2005 23:06 <DIR> SpeechEngines
31.01.2006 18:02 <DIR> SWF Studio
18.04.2006 00:37 <DIR> System
02.03.2006 17:05 <DIR> Wise Installation Wizard
08.07.2005 02:58 <DIR> xing shared
06.08.2006 23:32 <DIR> {EC6ABA6F-0A71-1031-0816-020208060031}
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 12.927.094.784 Bytes frei
Seitenanfang Seitenende