WORM/VB.DW Antivir kann nicht entfernen

#31 ja gut dann keine direkte Hilfe aber erkläre mir wenigstens wie ich den Virenscanner benutze( also ich meine I2mfix)

#32 das ist lang und breit auf der seite erklaert, man muss nur lesen
(option 2) ..PC neustarten ...scan abwarten
http://virus-protect.org/l2mfix.html
ich pflege alle schritte ausreichend zu erklaeren
__________
MfG Sabina

rund um die PC-Sicherheit

#33 ok ich habe es verstanden das ist der erste Log


L2MFIX find log 032106
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnce]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\l80u0id9e80.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{B1B63B9D-E57F-F54A-3A4F-14A45F8CA371}"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{1D2680C9-0E2A-469d-B787-065558BC7D43}"="Fusion Cache"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{D3796116-94D3-4009-96D7-51578411CC7D}"="Outpost Shell Extension"
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension"
"{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="Webordner"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler"
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension"
"{32020A01-506E-484D-A2A8-BE3CF17601C3}"="AlcoholShellEx"
"{21569614-B795-46b1-85F4-E737A8DC09AD}"="Shell Search Band"
"{90303C54-BBE4-468C-B689-99A214F762FF}"=""
"{E6BBFFDE-E051-490D-A6CB-B05BC3470703}"=""
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}"=""

**********************************************************************************
HKEY ROOT CLASSIDS:
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}\InprocServer32]
@="C:\\WINDOWS\\system32\\mgiavi32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}\InprocServer32]
@="C:\\WINDOWS\\system32\\mpimsg.dll"
"ThreadingModel"="Apartment"

**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
avsda.dll Wed 18 Jan 2006 13:05:54 A.... 57.344 56,00 K
bassmod.dll Wed 4 Jan 2006 19:14:58 A.... 14.848 14,50 K
drugui10.dll Sun 2 Apr 2006 13:15:02 ..S.R 237.090 231,53 K
ktr8l7~1.dll Sun 2 Apr 2006 16:09:32 ..S.R 235.599 230,07 K
l80u0i~1.dll Sun 2 Apr 2006 13:24:08 ..S.R 233.702 228,22 K
mpimsg.dll Sun 2 Apr 2006 16:19:20 ..S.R 233.702 228,22 K
mqiseq.dll Sun 2 Apr 2006 16:09:32 ..S.R 233.702 228,22 K
mqxmlr.dll Sun 2 Apr 2006 13:24:10 ..S.R 237.189 231,63 K
mvl2l9~1.dll Sun 2 Apr 2006 16:19:20 ..S.R 234.941 229,43 K
webclnt.dll Wed 4 Jan 2006 5:35:02 A.... 68.096 66,50 K

10 items found: 10 files (7 H/S), 0 directories.
Total of file sizes: 1.786.213 bytes 1,70 M
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D0C3-8147

Verzeichnis von C:\WINDOWS\System32

02.04.2006 16:19 <DIR> ..
02.04.2006 16:19 <DIR> .
02.04.2006 16:19 233.702 mpimsg.dll
02.04.2006 16:19 234.941 mvl2l93o1.dll
02.04.2006 16:09 233.702 mqiseq.dll
02.04.2006 16:09 235.599 ktr8l79u1.dll
02.04.2006 13:24 237.189 mqxmlr.dll
02.04.2006 13:24 233.702 l80u0id9e80.dll
02.04.2006 13:15 237.090 druGUI10.dll
01.04.2006 20:17 <DIR> dllcache
11.09.2005 18:02 <DIR> Microsoft
7 Datei(en) 1.645.925 Bytes
4 Verzeichnis(se), 27.252.002.816 Bytes frei



Dies ist der zweite Log nach dem Neustart was ein Hijackthis Log ist weis ich nicht tut mir Leid

L2mfix 032106
Creating Account.
Der Befehl wurde erfolgreich ausgef�hrt.

Adding Administrative privleges.
Checking for L2MFix account(0=no 1=yes):
1
Granting SeDebugPrivilege to L2MFIX ... successful

Running From:
C:\WINDOWS\system32

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 584 'smss.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 680 'winlogon.exe'
Killing PID 680 'winlogon.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 464 'explorer.exe'
Killing PID 464 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1548 'rundll32.exe'
Restoring Sedebugprivilege:
Granting SeDebugPrivilege to Administratoren ... successful

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
1 Datei(en) kopiert.
Deleting: C:\WINDOWS\system32\druGUI10.dll
Successfully Deleted: C:\WINDOWS\system32\druGUI10.dll
Deleting: C:\WINDOWS\system32\ktr8l79u1.dll
Successfully Deleted: C:\WINDOWS\system32\ktr8l79u1.dll
Deleting: C:\WINDOWS\system32\l80u0id9e80.dll
Successfully Deleted: C:\WINDOWS\system32\l80u0id9e80.dll
Deleting: C:\WINDOWS\system32\mpimsg.dll
Successfully Deleted: C:\WINDOWS\system32\mpimsg.dll
Deleting: C:\WINDOWS\system32\mqiseq.dll
Successfully Deleted: C:\WINDOWS\system32\mqiseq.dll
Deleting: C:\WINDOWS\system32\mqxmlr.dll
Successfully Deleted: C:\WINDOWS\system32\mqxmlr.dll
Deleting: C:\WINDOWS\system32\mvl2l93o1.dll
Successfully Deleted: C:\WINDOWS\system32\mvl2l93o1.dll

msg11?.dll
0 Datei(en) kopiert.



Restoring Windows Update Certificates.:

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnce]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\l80u0id9e80.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\druGUI10.dll
C:\WINDOWS\system32\ktr8l79u1.dll
C:\WINDOWS\system32\l80u0id9e80.dll
C:\WINDOWS\system32\mpimsg.dll
C:\WINDOWS\system32\mqiseq.dll
C:\WINDOWS\system32\mqxmlr.dll
C:\WINDOWS\system32\mvl2l93o1.dll

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}\InprocServer32]
@="C:\\WINDOWS\\system32\\mgiavi32.dll"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}\InprocServer32]
@="C:\\WINDOWS\\system32\\mpimsg.dll"
"ThreadingModel"="Apartment"

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{90303C54-BBE4-468C-B689-99A214F762FF}"=-
"{E6BBFFDE-E051-490D-A6CB-B05BC3470703}"=-
"{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}"=-
[-HKEY_CLASSES_ROOT\CLSID\{90303C54-BBE4-468C-B689-99A214F762FF}]
[-HKEY_CLASSES_ROOT\CLSID\{E6BBFFDE-E051-490D-A6CB-B05BC3470703}]
[-HKEY_CLASSES_ROOT\CLSID\{00FA7A54-E63D-4633-9E7A-20F9F31CD51C}]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************

****************************************************************************
Checking for L2MFix account(0=no 1=yes):
0
Zipping up files for submission:
adding: dlls/druGUI10.dll (164 bytes security) (deflated 5%)
adding: dlls/ktr8l79u1.dll (164 bytes security) (deflated 5%)
adding: dlls/l80u0id9e80.dll (164 bytes security) (deflated 4%)
adding: dlls/mpimsg.dll (164 bytes security) (deflated 4%)
adding: dlls/mqiseq.dll (164 bytes security) (deflated 4%)
adding: dlls/mqxmlr.dll (164 bytes security) (deflated 5%)
adding: dlls/mvl2l93o1.dll (164 bytes security) (deflated 5%)
adding: backregs/00FA7A54-E63D-4633-9E7A-20F9F31CD51C.reg (188 bytes security) (deflated 70%)
adding: backregs/90303C54-BBE4-468C-B689-99A214F762FF.reg (188 bytes security) (deflated 69%)
adding: backregs/E6BBFFDE-E051-490D-A6CB-B05BC3470703.reg (188 bytes security) (deflated 70%)
adding: backregs/notibac.reg (164 bytes security) (deflated 87%)
adding: backregs/shell.reg (164 bytes security) (deflated 73%)

#34 fein, nun arbeite alles weitere ab
dann poste den scan vom ewido und das log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#35 Hi@all!

Ich hab auch diesen WORM/VB.DW und mein bearshare spielt verrückt.

Hier meine Logfiles:

LOG1
Verzeichnis von C:\WINDOWS\system32

08.04.2006 15:50 2 cmd.com
08.04.2006 15:50 2 regedit.com
08.04.2006 15:50 2 taskkill.com
08.04.2006 15:50 2 tasklist.com
08.04.2006 15:50 2 tracert.com
08.04.2006 15:50 2 ping.com
08.04.2006 15:50 2 netstat.com
08.04.2006 15:05 1.676 ad.html
08.04.2006 14:51 687.592 atmtd.dll._
08.04.2006 14:51 687.592 atmtd.dll
08.04.2006 14:51 151.552 rar.exe
08.04.2006 14:50 36.864 setup.exe.tmp
26.03.2006 09:40 52.764 perfc009.dat
26.03.2006 09:40 380.350 perfh009.dat
26.03.2006 09:40 391.000 perfh007.dat
26.03.2006 09:40 63.580 perfc007.dat
26.03.2006 09:40 897.954 PerfStringBackup.INI
20.03.2006 14:25 62.464 bszip.dll
09.03.2006 16:08 12.980 wpa.dbl
08.03.2006 21:44 172.032 nvms.dll
27.01.2006 15:09 176.167 rmoc3260.dll
27.01.2006 15:09 5.632 pndx5032.dll
27.01.2006 15:09 6.656 pndx5016.dll
27.01.2006 15:09 278.528 pncrt.dll
27.01.2006 14:53 16.832 amcompat.tlb
27.01.2006 14:53 23.392 nscompat.tlb
18.01.2006 14:05 57.344 avsda.dll
10.12.2005 20:20 43.520 CmdLineExt03.dll
06.12.2005 21:44 33.082 exclean.exe



LOG2
Verzeichnis von C:\DOKUME~1\TheRing\LOKALE~1\Temp

08.04.2006 16:30 16.384 ~DF34CB.tmp
08.04.2006 16:14 70.487 KillBox.zip
08.04.2006 16:09 240 datFind.zip


LOG3
Verzeichnis von C:\WINDOWS

08.04.2006 15:54 0 0.log
08.04.2006 15:53 2.048 bootstat.dat
08.04.2006 15:52 32.570 SchedLgU.Txt
08.04.2006 15:52 2.560 _MSRSTRT.EXE
08.04.2006 15:49 1.125 Winamp.ini
08.04.2006 15:22 1.027.730 setupapi.log
08.04.2006 15:05 4.096 wallpap.exe
08.04.2006 15:05 320 dh.ini
08.04.2006 15:04 355 keyboard91.dat
08.04.2006 13:33 116 NeroDigital.ini
22.03.2006 01:40 50 wiaservc.log
22.03.2006 01:40 215 wiadebug.log
15.03.2006 20:02 129.949 wmsetup.log
26.02.2006 13:07 121 GEARInstall.log
05.02.2006 21:02 558 cdPlayer.ini
03.02.2006 02:02 174.629 setupact.log
27.01.2006 15:00 43.520 explorer.opt
27.01.2006 14:51 228 wmsetup10.log
27.01.2006 14:50 316.640 WMSysPr9.prx
13.01.2006 19:30 881 nsw.log
13.01.2006 18:41 304.855 WindowsUpdate.log
10.01.2006 10:54 101.075 War3Unin.dat
03.01.2006 17:45 1.989 uninstall_nmon.vbs
04.12.2005 16:30 46 ms_eJay.inf


LOG4
Verzeichnis von C:\

08.04.2006 16:38 0 sys.txt
08.04.2006 16:37 8.324 system.txt
08.04.2006 16:37 392 systemtemp.txt
08.04.2006 16:36 119.834 system32.txt
08.04.2006 15:53 805.306.368 pagefile.sys
08.04.2006 14:51 151.552 iexplore.exe


Ich hoffe, dass ihr mir helfen könnts...Danke scho mal im Vorraus

Liebe Grüße
Haubi

#36 Haubi

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService]

2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ad.html
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\rar.exe
C:\WINDOWS\system32\setup.exe.tmp
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\ _MSRSTRT.EXE
C:\WINDOWS\wallpap.exe
C:\WINDOWS\dh.ini
C:\WINDOWS\keyboard91.dat
C:\WINDOWS\uninstall_nmon.vbs
C:\iexplore.exe

3.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken

-------------------------------------------------------------
4.
arbeite die winlog.bfu ab
http://virus-protect.org/artikel/bfu/winlog_bfu.html

5.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

6.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#37 Ich danke für die schnelle Hilfe!

Hier mein Hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:34:26, on 09.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\Programme\Valve\Steam\Steam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\Programme\dsfsa\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.exactsearch.net/sidesearch
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {15705FC9-4BCB-4573-97D3-749873A2E346} - C:\WINDOWS\System32\alilkaa.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\jysbwjpk.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname9.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad9.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard9.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF18B.exe
O4 - HKCU\..\Run: [services32] C:\Programme\Gemeinsame Dateien\Windows\mc-110-12-0000137.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\dsfsa\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\PROGRA~1\dsfsa\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\PROGRA~1\dsfsa\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

Und noch mein ewido-scanreport:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:29:48, 09.04.2006
+ Report-Checksumme: 903A10E0

+ Scanergebnis:

HKLM\SOFTWARE\Classes\ADP.UrlCatcher -> Adware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADP.UrlCatcher\CLSID -> Adware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\ADP.UrlCatcher.1 -> Adware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{6001CDF7-6F45-471b-A203-0225615E35A7} -> Adware.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\NLS.UrlCatcher -> Adware.NaviSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\NLS.UrlCatcher\CLSID -> Adware.NaviSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\NLS.UrlCatcher.1 -> Adware.NaviSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\WUSN.1 -> Adware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6001CDF7-6F45-471b-A203-0225615E35A7} -> Adware.Generic : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BargainBuddy -> Adware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NaviSearch -> Adware.NaviSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SaveNow -> Adware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\WhenUSave -> Adware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\WhenUSave\Partners -> Adware.SaveNow : Gesäubert mit Backup
HKLM\SOFTWARE\WhenUSave\Partners\WUSV -> Adware.SaveNow : Gesäubert mit Backup
C:\!KillBox\ad.html -> Hijacker.Agent.e : Gesäubert mit Backup
Einstellungen\TheRing\Anwendungsdaten\Mozilla\Profiles\default\vjxw250p.slt\cookies.txt -> TrackingCookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zipey Pro 3.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZipForge 2.67.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZipForward Pro 1.1.zip/Setup.exe -> Worm.VB.dw : Fehler beim Säubern
C:\Dokumente und Einstellungen\TheRing\Complete\ZipGenius 6.0.2.106.zip/Setup.exe -> Worm.VB.dw : Fehler beim Säubern
C:\Dokumente und Einstellungen\TheRing\Complete\Zipghost 2.90 Build
C:\Dokumente und Einstellungen\TheRing\Complete\Zulu Gems 1.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZuluPad 0.2.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zuma Deluxe .zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zuma Deluxe 1.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zuma Personal Edition 3.33.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zuma Pro 3.33.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZW GI To ISO 2.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZW Net Send Manager 2.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZwCAD Standard 2005.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZyGoVideo for QuickTime (OS X) 2.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zyneo SMS ActiveX Control 1.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zyneo SMS Gateway 1.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZZ Fare - Airfare Search Assistant 2.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zzed .zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\Zzed 1.1.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Complete\ZzZ Timer 1.0.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Cookies\thering@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Cookies\thering@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Cookies\thering@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Cookies\thering@www.etracker[2].txt -> TrackingCookie.Etracker : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Startmenü\Programme\WhenU -> Adware.SaveNow : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Startmenü\Programme\WhenU\Learn More About WhenU Save.url -> Adware.SaveNow : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Startmenü\Programme\WhenU\Learn More About WhenU SaveNow.url -> Adware.SaveNow : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Startmenü\Programme\WhenU\Uninstall.lnk -> Adware.SaveNow : Gesäubert mit Backup
C:\Dokumente und Einstellungen\TheRing\Startmenü\Programme\WhenU\WhenU.com Website.url -> Adware.SaveNow : Gesäubert mit Backup
C:\Programme\BE Network\bin\slidev.exe -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\BE Network\bin\slidex.exe -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Windows\services32.exe -> Adware.Maxifiles : Gesäubert mit Backup
C:\Programme\NaviSearch -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\NaviSearch\ad.dat -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\NaviSearch\info.txt -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\NaviSearch\nls_config.dat -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\NaviSearch\t1144504235.dec -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\NaviSearch\Uninstall.exe -> Adware.BargainBuddy : Gesäubert mit Backup
C:\Programme\Network Monitor\netmon.exe -> Not-A-Virus.Monitor.Win32.NetMon.a : Gesäubert mit Backup
C:\Programme\outlook\p.zip/Setup.exe -> Worm.VB.dw : Gesäubert mit Backup
C:\Programme\Save -> Adware.SaveNow : Gesäubert mit Backup
C:\Programme\Save\ACM.dll -> Adware.SaveNow : Gesäubert mit Backup
C:\Programme\Save\save.db -> Adware.SaveNow : Gesäubert mit Backup
C:\Programme\Save\save.htm -> Adware.SaveNow : Gesäubert mit Backup
C:\Programme\Save\SaveUninst.exe -> Adware.SaveNow : Gesäubert mit Backup
C:\Programme\Save\store.db -> Adware.SaveNow : Gesäubert mit Backup
C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup
C:\WINDOWS\Sm9uYXMgUnVzbmFr\command.exe -> Adware.CommAd : Gesäubert mit Backup
D:\Downloads\VVSN_WHSE1204Inst.exe -> Adware.SaveNow : Gesäubert mit Backup


::Report Ende


Hoffe des passt da alles. Auf jeden Fall meldet sich dieser Worm net mehr...würd mich freuen wenns so bliebe.

Also nochma tausend Dank.

Gruß Haubi

#38 Haubi

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.exactsearch.net/sidesearch
O2 - BHO: (no name) - {15705FC9-4BCB-4573-97D3-749873A2E346} - C:\WINDOWS\System32\alilkaa.dll (file missing)
O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL (file missing)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)
O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Programme\Toolbar888\ToolBar888.dll (file missing)

O4 - HKLM\..\Run: [JVM0.12] C:\WINDOWS\System32\jysbwjpk.exe
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [newname] C:\windows\newname9.exe
O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad9.exe
O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard9.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"

PC neustarten

scanne mit Bitdefender ScanOnline neu und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#39 Ich hab auch den Wurm "Worm/VB.DW"

Bitte helft mir!

Ich bin ein absoluter noob auf dem Bereich, also bitte erklärt mir alles moglichst genau und verständlich!

Nach jedem Systemstart kommt diese meldung, aber ca. 20 mal nur mit einem anderen namen, aber alle im Temp ordner(wenn ich nachschau is er aber leer)! der Taskmanager funktioniert auch nich mehr.

also nochmal bitte erklärt es mir möglichst leicht und verständlich und schonmal danke für jede antwort!

#40 Clankinator

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#41 danke schonmal für die schnelle antwort

hab gleich mal n prob wenn ich auf die listen bat doppelklicke kommt folgendes

edit: das gleiche bei der datfindbat


das spuckt highjack this aus:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:08:27, on 12.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\msconfig.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\taskmgr.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Viruslöschung\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spieleforum.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/wdgt3/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/wdgt3/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/wdgt3/*http://www.yahoo.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Yahoo! Widget Engine (2).lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet7_22.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135527166954
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortcore.cab
O16 - DPF: {E991BDE0-9816-4094-853E-6BDB60F0342D} (Get_ActiveX Control) - http://apps.corel.com/nos_dl_manager/plugin/IENetOpPlugin.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{86D62810-A3F5-41B6-BE2F-D6C9609FF83E}: NameServer = 192.168.77.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

nochwas, Norton wird bald gelöscht, steig um auf antivir!

edit 2: hab das mit listenbat und dem anderen auf nem 2.Rechner probiert, da funzts

#42 Clankinator

klappt die datfindbat auch nicht? Ich muesste unbedingt diese logs haben...
versuche es im abgesicherten Modus ..und speichere die daten als txt.

----------

Sophos
aktuellste Virendefinitionsdateien
1.) IDEs für SAV Version Juni 2006 (4.04) Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/
2.) http://www.sophos.de/tools/sav32sfx.exe
3.) gehe in C:\
4.) klicke SAV32CLI
__________
MfG Sabina

rund um die PC-Sicherheit

#43 so, gesetern hab ich dank meines Freundes den Wurm löschen können

Wir benutzten hauptsächlich das Programm [url=http://www.snapfiles.com/get/starter.html]Starter[/url], ich kann dieses Programm uneingeschränkt weiterempfehln! Mit ihm kann man alle Autostarts, Prozesse und Sevices übersichtlich Verwalten (und löschen!)
http://virus-protect.org/artikel/tools/starter.html

@Sabina: ich muss dir danken, sehr schnelle und kopetente Beratung und einfach nur *Daumen hoch* und mach weiter so!

Sagt mal was ihr von dem Progamm Starter haltet


PS: Die beiden bat dateien funktionieren wieder... ka. warum

#44 Clankinator

wenn die beiden bat wieder funktionieren, poste die txt hier ich schaue noch mal nach
__________
MfG Sabina

rund um die PC-Sicherheit

#45 ok wennste willst

Ps: was haltet ihr denn von dem Programm?

listen.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C16-4D51

Verzeichnis von C:\WINDOWS\Temp

12.06.2006 23:44 <DIR> .
12.06.2006 23:44 <DIR> ..
05.06.2006 00:54 <DIR> BullGuard
12.12.2005 16:02 <DIR> CTZAPXX
04.08.2004 01:58 43.008 OLDCE.tmp
04.08.2004 01:58 130.048 OLDD2.tmp
04.08.2004 14:00 47.616 OLDD6.tmp
04.08.2004 01:57 4.096 OLDDA.tmp
04.08.2004 14:00 17.408 OLDDE.tmp
04.08.2004 01:57 54.272 OLDE2.tmp
04.08.2004 01:58 61.952 OLDE6.tmp
04.08.2004 01:58 91.136 OLDEA.tmp
04.08.2004 01:58 28.672 OLDEE.tmp
04.08.2004 14:00 299.008 OLDF2.tmp
04.08.2004 00:15 140.928 OLDF6.tmp
04.08.2004 14:00 8.192 OLDFA.tmp
06.06.2006 15:22 16.384 Perflib_Perfdata_124.dat
02.06.2006 14:22 16.384 Perflib_Perfdata_33c.dat
25.12.2005 18:55 16.384 Perflib_Perfdata_760.dat
10.06.2006 18:05 16.384 Perflib_Perfdata_850.dat
09.06.2006 01:04 16.384 Perflib_Perfdata_8f8.dat
06.06.2006 15:17 16.384 Perflib_Perfdata_c20.dat
12.04.2006 01:46 13 sos98.tmp
31.01.2006 00:18 4.726 SYMEVENT.LOG
12.06.2006 02:10 210.432 tmp80.tmp
06.03.2006 01:02 151 TWAIN.LOG
06.03.2006 01:02 0 Twunk002.MTX
12.06.2006 23:18 43 WGAErrLog.txt
12.06.2006 23:19 373 WGANotify.settings
25.12.2005 23:29 <DIR> {67AEFC4C-69E4-11D7-85F4-00E018013273}
25.12.2005 23:28 <DIR> {7A900EAB-DA37-4554-AF19-9C337476D05D}
12.12.2005 16:01 <DIR> {B9A34BF9-5DA3-4248-8882-229CF5737B4F}
25.12.2005 23:29 <DIR> {C6866B7D-ACFD-4C49-B77B-3B2F8CF54B96}
25.12.2005 23:29 <DIR> {EE6699B3-E5AD-4E59-8F2B-207DF630670C}
25.12.2005 23:29 <DIR> {FD549B7B-3532-4160-80D4-3E3DD39A9AE5}
01.01.2004 01:11 16.384 ~DF1151.tmp
01.01.2004 01:11 512 ~DF116A.tmp
01.01.2004 01:01 16.384 ~DF63A4.tmp
01.01.2004 01:01 512 ~DF63AC.tmp
01.01.2004 01:01 16.384 ~DF6486.tmp
01.01.2004 01:01 512 ~DF648E.tmp
01.01.2004 01:13 16.384 ~DFCB7D.tmp
01.01.2004 01:13 512 ~DFCB85.tmp
01.01.2004 01:13 16.384 ~DFCC5F.tmp
01.01.2004 01:13 512 ~DFCC67.tmp
01.01.2004 01:11 16.384 ~DFE61.tmp
01.01.2004 01:11 512 ~DFE74.tmp
37 Datei(en) 1.341.754 Bytes
10 Verzeichnis(se), 195.636.547.584 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C16-4D51



Datfind.bat:


system 32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C16-4D51

Verzeichnis von C:\WINDOWS\system32

13.06.2006 13:44 41.150 nvapps.xml
13.06.2006 13:43 12.598 wpa.dbl
13.06.2006 02:37 100 LuResult.txt
13.06.2006 01:44 57.384 avsda.dll
11.06.2006 22:58 147.456 vbzip10.dll
11.06.2006 21:09 294.072 FNTCACHE.DAT
11.06.2006 17:28 332 n.bat
11.06.2006 17:26 0 taskkill.exe
10.06.2006 19:29 2.328 OODBS.lor
09.06.2006 10:57 6.961 jupdate-1.5.0_07-b03.log
06.06.2006 15:35 2.277.888 TUKernel.exe
06.06.2006 15:29 2.276.352 KERNEL.TMP
04.06.2006 20:34 4.184 KGyGaAvL.sys
02.06.2006 01:52 339.456 oodag.exe
02.06.2006 01:52 10.240 oodagrs.dll
01.06.2006 18:28 9.202 frameori1604.exe
31.05.2006 19:06 56 B65F8DD1C9.sys
31.05.2006 12:27 584 settingsbkup.sfm
31.05.2006 12:27 584 settings.sfm
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 402.736 WgaLogon.dll
23.05.2006 17:25 285.488 WgaTray.exe
19.05.2006 21:28 311.604 perfh009.dat
19.05.2006 21:28 48.156 perfc007.dat
19.05.2006 21:28 39.992 perfc009.dat
19.05.2006 21:28 316.594 perfh007.dat
19.05.2006 21:28 723.568 PerfStringBackup.INI
19.05.2006 16:05 98.304 CmdLineExt.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 450.560 pxdrv.dll
11.05.2006 22:10 535 ws702414.ocx
11.05.2006 21:55 24 DKRNL.JAX
11.05.2006 17:58 34.308 BASSMOD.dll
05.05.2006 23:25 2.368 SVKP.sys
04.05.2006 06:26 5.818.784 MRT.exe
03.05.2006 02:56 127.078 javaws.exe
03.05.2006 02:56 49.265 jpicpl32.cpl
03.05.2006 01:19 53.346 javaw.exe
03.05.2006 01:19 49.248 java.exe
30.04.2006 21:10 102.400 tsccvid.dll
30.04.2006 15:45 36.864 frapsvid.dll
15.04.2006 01:45 3.176 gafilter.sti

Systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C16-4D51

Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp

14.06.2006 00:24 0 wmvB4.tmp
14.06.2006 00:14 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}28899.html
13.06.2006 23:41 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}5246.html
13.06.2006 18:32 0 wmv81.tmp
13.06.2006 16:16 0 ysf72.tmp
13.06.2006 16:16 0 hoe71.tmp
13.06.2006 16:16 0 6xe70.tmp
13.06.2006 16:16 0 l8d6F.tmp
13.06.2006 13:49 16.384 ~DF8B5C.tmp
13.06.2006 13:49 16.384 ~DF855B.tmp
13.06.2006 13:49 512 ~DF856C.tmp
13.06.2006 13:47 93.653 tmp.xpi
13.06.2006 02:40 8.038.848 Norton Internet Security 2006 6-13-2006 2h36m3s.log
13.06.2006 02:40 5.905 SYMEVENT.LOG
13.06.2006 02:40 4.114 SNDunin.log
13.06.2006 02:40 2.884 IDSinst.LOG
13.06.2006 02:37 1.685 CLTDIST.log
13.06.2006 02:36 124 AVRES_OPTRF_LiveUpdate.dat
13.06.2006 02:31 349.194 mps045A0.tmp
13.06.2006 02:28 10.108 48b2_appcompat.txt
13.06.2006 02:28 10.108 4d93_appcompat.txt
13.06.2006 02:28 10.108 45d1_appcompat.txt
12.06.2006 23:18 16.384 ~DF4709.tmp
12.06.2006 23:18 16.384 ~DF159C.tmp
12.06.2006 18:48 59.964 Adobelm_Cleanup.0001
12.06.2006 14:34 16.384 ~DFAA60.tmp
12.06.2006 14:34 16.384 ~DF9135.tmp
12.06.2006 14:34 16.384 ~DF2E1A.tmp
12.06.2006 14:34 16.384 ~DF2ED1.tmp
12.06.2006 01:36 67.560 TFR43.tmp
12.06.2006 01:36 21.122 TFR3F.tmp
12.06.2006 01:36 23.427 TFR3E.tmp
12.06.2006 01:36 71.682 TFR3D.tmp
12.06.2006 01:36 10.225 TFR3A.tmp
12.06.2006 01:36 35.574 TFR38.tmp
12.06.2006 01:36 32.204 TFR37.tmp
12.06.2006 01:36 27.777 TFR36.tmp
12.06.2006 00:53 16.384 ~DF451E.tmp
12.06.2006 00:53 16.384 ~DF4570.tmp
12.06.2006 00:53 16.384 ~DF4549.tmp
12.06.2006 00:53 16.384 ~DF44F7.tmp
12.06.2006 00:42 16.384 ~DF9DF1.tmp
12.06.2006 00:42 16.384 ~DF4784.tmp
12.06.2006 00:42 16.384 ~DF7BBE.tmp
12.06.2006 00:42 16.384 ~DF7BB8.tmp
12.06.2006 00:03 0 wmv1C5.tmp
11.06.2006 22:49 16.384 ~DFA52.tmp
11.06.2006 22:49 16.384 ~DFAD4D.tmp
11.06.2006 22:49 16.384 ~DF6103.tmp
11.06.2006 22:49 16.384 ~DF5FDF.tmp
11.06.2006 22:38 16.384 ~DFA5CB.tmp
11.06.2006 22:38 16.384 ~DFA63D.tmp
11.06.2006 22:38 16.384 ~DF8FDE.tmp
11.06.2006 22:38 16.384 ~DF2C96.tmp
11.06.2006 22:29 16.384 ~DF644B.tmp
11.06.2006 22:29 16.384 ~DF62E0.tmp
11.06.2006 22:29 16.384 ~DF222E.tmp
11.06.2006 22:29 16.384 ~DFC307.tmp
11.06.2006 21:10 16.384 ~DF5DF1.tmp
11.06.2006 21:10 16.384 ~DF41EC.tmp
11.06.2006 21:10 16.384 ~DFD7F0.tmp
11.06.2006 21:10 16.384 ~DFD80A.tmp
11.06.2006 21:07 314 MSIdfd8d.LOG
11.06.2006 20:05 1.105 TWAIN.LOG
11.06.2006 20:05 5 Twain001.Mtx
11.06.2006 20:05 156 Twunk001.MTX
11.06.2006 20:02 314 MSI27cc3.LOG
11.06.2006 17:27 16.384 ~DF1794.tmp
11.06.2006 17:26 16.384 ~DF4DAF.tmp
11.06.2006 17:14 314 MSI8cae0.LOG
11.06.2006 16:06 314 MSIa2f59.LOG
11.06.2006 16:00 32.768 ~DF764A.tmp
11.06.2006 14:11 16.384 ~DFC8F2.tmp
11.06.2006 14:11 16.384 ~DF7A01.tmp
11.06.2006 09:28 16.384 ~DF39A4.tmp
11.06.2006 09:28 16.384 ~DFF7A5.tmp
10.06.2006 21:20 16.384 ~DFC25D.tmp
10.06.2006 21:20 16.384 ~DF5000.tmp
10.06.2006 21:12 16.384 ~DFF101.tmp
10.06.2006 21:12 16.384 ~DFF0CD.tmp
10.06.2006 21:12 16.384 ~DFF0E7.tmp
10.06.2006 21:12 16.384 ~DFF11B.tmp
10.06.2006 21:12 16.384 ~DFE5AB.tmp
10.06.2006 21:12 16.384 ~DFDE66.tmp
10.06.2006 17:16 0 wmvAA.tmp
10.06.2006 16:51 16.384 ~DFF3AA.tmp
10.06.2006 16:51 512 ~DFF39C.tmp
10.06.2006 16:51 16.384 ~DFF35C.tmp
10.06.2006 16:51 16.384 ~DFF376.tmp
10.06.2006 16:51 512 ~DFF382.tmp
10.06.2006 16:51 512 ~DFF3B6.tmp
10.06.2006 16:51 512 ~DFF368.tmp
10.06.2006 16:51 16.384 ~DFF390.tmp
10.06.2006 15:32 1.664 jusched.log
10.06.2006 15:27 16.384 ~DF13E6.tmp
10.06.2006 15:27 512 ~DFDAD0.tmp
10.06.2006 15:27 16.384 ~DFDA95.tmp
10.06.2006 13:01 16.384 ~DFEE0F.tmp
10.06.2006 13:01 16.384 ~DFD1BD.tmp
10.06.2006 12:07 0 wmvA.tmp
10.06.2006 00:03 0 wmv18E.tmp
09.06.2006 23:49 0 wmv183.tmp
09.06.2006 23:47 0 Twunk002.MTX
09.06.2006 23:46 0 wmv180.tmp
09.06.2006 22:59 0 wmv79.tmp
09.06.2006 22:46 0 wmv6A.tmp
09.06.2006 22:19 16.384 ~DFF4BE.tmp
09.06.2006 22:19 16.384 ~DFD4E9.tmp
09.06.2006 20:46 16.384 ~DF393C.tmp
09.06.2006 20:46 16.384 ~DF9557.tmp
09.06.2006 19:32 16.384 ~DFD3D.tmp
09.06.2006 19:32 16.384 ~DF8CB8.tmp
09.06.2006 17:27 939 jupdate1.5.0.xml
09.06.2006 17:22 16.384 ~DFF1BE.tmp
09.06.2006 17:22 16.384 ~DF9E69.tmp
09.06.2006 10:57 2.381 java_install_reg.log
09.06.2006 10:56 23.560 java_install.log
09.06.2006 10:49 872 jinstall.cfg
09.06.2006 09:58 515 DelUS.bat
09.06.2006 09:54 6 InstallerValues.log
09.06.2006 09:52 1.250 Subinstall_DLL.log
09.06.2006 09:47 614 MSIa0b1b.LOG
09.06.2006 09:37 16.384 ~DF173D.tmp
09.06.2006 09:37 16.384 ~DFC6E4.tmp
09.06.2006 00:52 0 wmv15D.tmp
08.06.2006 23:59 0 wmv136.tmp
08.06.2006 23:14 0 wmv105.tmp
08.06.2006 22:34 0 wmvD1.tmp
08.06.2006 21:37 0 wmvCC.tmp
08.06.2006 21:16 16.384 ~DFD8C1.tmp
08.06.2006 21:16 512 ~DFD212.tmp
08.06.2006 21:16 16.384 ~DFD205.tmp
08.06.2006 21:13 16.384 ~DF4EB5.tmp
08.06.2006 21:13 16.384 ~DF4ECF.tmp
08.06.2006 21:13 16.384 ~DF4E9B.tmp
08.06.2006 21:13 16.384 ~DF4E81.tmp
08.06.2006 21:13 16.384 ~DF22DB.tmp
08.06.2006 21:13 16.384 ~DF1C17.tmp
08.06.2006 21:11 16.384 ~DF27DF.tmp
08.06.2006 21:11 16.384 ~DF27F9.tmp
08.06.2006 21:11 16.384 ~DF27C4.tmp
08.06.2006 21:11 16.384 ~DF27AA.tmp
08.06.2006 20:56 595 ftp.tmp
08.06.2006 20:48 16.384 ~DFABEE.tmp
08.06.2006 20:48 16.384 ~DF6CE2.tmp
08.06.2006 18:08 16.384 ~DFAD49.tmp
08.06.2006 18:08 16.384 ~DF7F02.tmp
08.06.2006 08:21 16.384 ~DF7BBD.tmp
08.06.2006 08:21 16.384 ~DF13DB.tmp


system:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C16-4D51

Verzeichnis von C:\WINDOWS

14.06.2006 00:46 497 ULEAD32.INI
13.06.2006 19:39 1.827.808 WindowsUpdate.log
13.06.2006 15:59 54.156 QTFont.qfn
13.06.2006 13:38 0 0.log
13.06.2006 13:37 159 wiadebug.log
13.06.2006 13:37 50 wiaservc.log
13.06.2006 13:37 2.048 bootstat.dat
13.06.2006 01:17 32.548 SchedLgU.Txt
09.06.2006 12:54 30.051 KB912812.log
09.06.2006 10:57 793.206 setupapi.log
08.06.2006 23:14 116 NeroDigital.ini
06.06.2006 14:44 106 drwatson.log
06.06.2006 14:11 933 win.ini
05.06.2006 23:53 1.409 QTFont.for
03.06.2006 14:01 49.673 DirectX.log
31.05.2006 12:30 9.685 WgaNotify.log
28.05.2006 22:21 19 install.log
25.05.2006 17:58 36.765 wmsetup.log
18.05.2006 21:41 316.640 WMSysPr9.prx
17.05.2006 23:33 485.370 Lambo-Murc-R-GT-02-1600.JPG
15.05.2006 14:39 19 PatchInstall1Debug.log
13.05.2006 23:30 208 GSdx9 sse2.INI
11.05.2006 17:32 2.560 _MSRSTRT.EXE
10.05.2006 17:21 108.241 comsetup.log
10.05.2006 17:21 63.811 ntdtcsetup.log
10.05.2006 17:21 47.543 iis6.log
10.05.2006 17:21 16.275 ocmsn.log
10.05.2006 17:21 118.127 tsoc.log
10.05.2006 17:21 1.374 imsins.log
10.05.2006 17:21 12.086 KB913580.log
10.05.2006 17:21 145.905 ocgen.log
10.05.2006 17:21 14.776 msgsocm.log
10.05.2006 17:21 289.754 FaxSetup.log
10.05.2006 17:21 17.738 updspapi.log
06.05.2006 20:39 32 wininit.ini
05.05.2006 23:17 65.536 IFinst27.exe
30.04.2006 13:23 0 PROTOCOL.INI
26.04.2006 21:30 315.543 aaaaaaaaaaaaaaaaaaaa.jpg
26.04.2006 21:30 315.543 h””lhlk.jpg
26.04.2006 14:00 1.374 imsins.BAK
26.04.2006 14:00 12.009 KB900485.log
16.04.2006 08:38 1.829 spupdsvc.log
16.04.2006 08:36 15.056 KB908531.log
16.04.2006 08:36 14.293 KB911562.log
16.04.2006 08:35 18.460 KB911565.log
16.04.2006 08:35 10.934 KB911567.log
15.04.2006 01:34 476.682 The_Sky_is_Falling_by_boss019.jpg
10.04.2006 10:03 4.100 cnsinfo.dat
31.03.2006 18:29 4.161 ODBCINST.INI
26.03.2006 15:49 270 Clony2.ini
22.03.2006 23:28 107.132 UninstallThunderbird.exe
22.03.2006 23:28 5.125 mozver.dat
20.03.2006 22:10 231 system.ini
07.03.2006 15:13 50.688 NDNuninstall6_38-1.exe
04.03.2006 01:49 606.848 flashax.exe
04.03.2006 01:49 12.288 impborl.dll
03.03.2006 16:00 403 ODBC.INI
02.03.2006 00:18 11 amunres.lsl
17.02.2006 18:18 86 KE.log
17.02.2006 18:10 10.690 KB911927.log
17.02.2006 18:10 9.085 KB911564.log
17.02.2006 18:09 6.706 KB913446.log
12.02.2006 20:49 626 NWDECDU.INI
05.02.2006 11:22 455 wmsetup10.log
24.01.2006 19:22 461.282 Fibers_of_Light_by_DragonX141.jpg
24.01.2006 17:17 0 nsreg.dat
24.01.2006 17:17 107.132 UninstallFirefox.exe
20.01.2006 14:29 59 vbaddin.ini
18.01.2006 21:41 4.096 d3dx.dat
11.01.2006 15:09 10.131 KB908519.log
05.01.2006 23:47 11.026 KB912919.log


sys:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4C16-4D51

Verzeichnis von C:\

14.06.2006 01:08 0 sys.txt
14.06.2006 01:08 9.840 system.txt
14.06.2006 01:08 8.041 systemtemp.txt
14.06.2006 01:08 105.538 system32.txt
14.06.2006 01:04 6.001 files.txt
13.06.2006 13:37 2.147.012.608 hiberfil.sys
13.06.2006 13:37 2.145.386.496 pagefile.sys
06.06.2006 15:35 545 boot.ini
11.05.2006 22:10 556 os045133.bin
15.04.2006 01:10 458 os466477.bin
15.04.2006 00:33 45 TEST.XML
25.03.2006 23:28 567 os678647.bin
14.01.2006 14:38 0 AILog.txt
25.12.2005 17:53 211 BOOT.BKK
06.10.2004 12:27 0 AUTOEXEC.BAT
06.10.2004 12:27 0 MSDOS.SYS
06.10.2004 12:27 0 CONFIG.SYS
06.10.2004 12:27 0 IO.SYS
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 4.952 bootfont.bin
18.03.2003 21:20 1.060.864 mfc71.dll
18.03.2003 21:12 1.047.552 mfc71u.dll
18.03.2003 20:14 499.712 msvcp71.dll
18.03.2003 19:05 89.088 atl71.dll
21.02.2003 04:42 348.160 msvcr71.dll
26 Datei(en) 4.295.879.982 Bytes
0 Verzeichnis(se), 195.425.710.080 Bytes frei