Keine Adminrechte, Regedit geht och net mehr - wsock32sys

#0
14.04.2006, 23:37
Member

Beiträge: 11
#16 Super Danke das ihr mir bei meinem Problem helfen wollt!!!!!!!! *freu*

So ich hoffe ich habe es geschnallt:

Dann soll es mal losgehen

14.04.2006 23:01 43.459 nvapps.xml
14.04.2006 19:43 49.470 OODBS.lor
14.04.2006 00:15 21.536 EA.Games.Multi.keyg*hier nicht*.(77).exe
10.04.2006 12:55 2.206 wpa.dbl
05.04.2006 20:44 40.972 perfc009.dat
05.04.2006 20:44 49.372 perfc007.dat
05.04.2006 20:44 314.644 perfh009.dat
05.04.2006 20:44 732.342 PerfStringBackup.INI
05.04.2006 20:44 320.424 perfh007.dat
05.04.2006 20:40 199.344 FNTCACHE.DAT
28.03.2006 12:38 552 d3d8caps.dat
22.03.2006 02:10 34.308 BASSMOD.dll
19.03.2006 03:14 176.167 rmoc3260.dll
19.03.2006 03:14 5.632 pndx5032.dll
19.03.2006 03:14 6.656 pndx5016.dll
19.03.2006 03:14 278.528 pncrt.dll
16.03.2006 01:29 3.981.366 toyhide.bmp
15.03.2006 20:07 6 reboot.txt
13.03.2006 18:13 1.205 lvcoinst.log
13.03.2006 18:10 553 Installer.log
15.02.2006 22:16 61.440 madCHook.dll
27.01.2006 14:29 7.006 jupdate-1.5.0_06-b05.log
25.01.2006 21:29 57.344 avsda.dll
23.01.2006 21:35 219.648 uxtheme.dll
22.01.2006 22:18 262.144 wrap_oal.dll
22.01.2006 22:18 86.016 OpenAL32.dll
21.01.2006 04:44 124.690 mswinsck.ocx
21.01.2006 04:06 0 h323log.txt
20.01.2006 22:33 98.304 CmdLineExt.dll
20.01.2006 21:37 146.650 BuzzingBee.wav
20.01.2006 21:37 940.794 LoopyMusic.wav
20.01.2006 21:08 261 $winnt$.inf
20.01.2006 21:06 2.951 CONFIG.NT
20.01.2006 21:06 16.832 amcompat.tlb
20.01.2006 21:06 23.392 nscompat.tlb
20.01.2006 21:05 488 WindowsLogon.manifest
20.01.2006 21:05 488 logonui.exe.manifest
20.01.2006 21:05 749 cdplayer.exe.manifest
20.01.2006 21:05 749 wuaucpl.cpl.manifest
20.01.2006 21:05 749 nwc.cpl.manifest
20.01.2006 21:05 749 sapi.cpl.manifest
20.01.2006 21:05 749 ncpa.cpl.manifest
20.01.2006 21:04 21.740 emptyregdb.dat

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

14.04.2006 23:01 763 TWAIN.LOG
14.04.2006 23:01 3 Twain001.Mtx
14.04.2006 23:01 156 Twunk001.MTX
14.04.2006 23:01 4.455 LVCOMSX.LOG
14.04.2006 14:55 206 jusched.log
14.04.2006 14:47 8.728 MPC72.tmp
14.04.2006 14:46 0 Twunk002.MTX

Verzeichnis von C:\WINDOWS

14.04.2006 22:50 705 win.ini
14.04.2006 20:36 350.090 setupapi.log
14.04.2006 19:44 0 0.log
14.04.2006 19:43 159 wiadebug.log
14.04.2006 19:43 50 wiaservc.log
14.04.2006 19:43 2.048 bootstat.dat
14.04.2006 19:42 32.616 SchedLgU.Txt
14.04.2006 19:42 59.852 WindowsUpdate.log
14.04.2006 14:45 1.174 OEWABLog.txt
14.04.2006 14:45 30.974 wmsetup.log
14.04.2006 03:53 231.236 ntbtlog.txt
13.04.2006 21:16 60.416 ALCFDRTM.VER
10.04.2006 23:19 616 nsw.log
06.04.2006 20:26 116 NeroDigital.ini
01.04.2006 13:31 253.952 Setup1.exe
01.04.2006 13:31 74.752 ST6UNST.EXE
29.03.2006 01:44 178.642 setupact.log
13.03.2006 18:10 316.640 WMSysPr9.prx
07.03.2006 00:15 98.943 DirectX.log
03.03.2006 22:17 54.794 iis6.log
03.03.2006 22:17 17.736 comsetup.log
03.03.2006 22:17 13.008 tsoc.log
03.03.2006 22:17 9.097 ntdtcsetup.log
03.03.2006 22:17 1.227 ocmsn.log
03.03.2006 22:17 1.355 imsins.log
03.03.2006 22:17 1.563 tabletoc.log
03.03.2006 22:17 8.047 KB893803v2.log
03.03.2006 22:17 3.873 netfxocm.log
03.03.2006 22:17 17.648 ocgen.log
03.03.2006 22:17 1.180 msgsocm.log
03.03.2006 22:17 1.912 MedCtrOC.log
03.03.2006 22:17 17.721 FaxSetup.log
03.03.2006 22:17 11.864 msmqinst.log
27.02.2006 23:56 2.079.924 setupapi.log.0.old
23.01.2006 21:40 3.078 BricoPackFoldersDelete.cmd
23.01.2006 21:40 53.815 BricoPackUninst.txt
23.01.2006 21:40 53.815 BricoPackUninst.cmd
23.01.2006 21:40 3.932.214 BricoPack Wallpaper.bmp
21.01.2006 04:03 0 Sti_Trace.log
21.01.2006 04:00 1.348 regopt.log
21.01.2006 03:58 0 setuperr.log
21.01.2006 01:04 86 KE.log
20.01.2006 23:46 400 ODBC.INI
20.01.2006 21:47 9.709 system.ini
20.01.2006 21:37 60.416 ALCFDRTM.EXE
20.01.2006 21:18 26.803 Ascd_log.ini
20.01.2006 21:17 26.765 Ascd_tmp.ini
20.01.2006 21:17 0 AS_Debug.txt
20.01.2006 21:10 8.192 REGLOCS.OLD
20.01.2006 21:08 4.382 imsins.BAK
20.01.2006 21:06 0 control.ini
20.01.2006 21:06 4.161 ODBCINST.INI
20.01.2006 21:05 749 WindowsShell.Manifest
20.01.2006 21:04 1.023 sessmgr.setup.log
20.01.2006 21:03 36 vb.ini
20.01.2006 21:03 37 vbaddin.ini
20.01.2006 21:03 133 DtcInstall.log

Verzeichnis von C:\

14.04.2006 23:09 0 sys.txt
14.04.2006 23:09 5.388 system.txt
14.04.2006 23:08 631 systemtemp.txt
14.04.2006 23:06 109.625 system32.txt
14.04.2006 19:43 2.145.386.496 pagefile.sys
14.04.2006 19:43 3.782 avenger.txt
14.04.2006 02:23 35.026.725 AVG7QT.DAT
25.03.2006 18:26 55 regmoose.ini
03.03.2006 18:37 6 version.txt
04.02.2006 01:51 224 boot.ini
25.01.2006 21:29 327.613 avguard.Log
21.01.2006 17:02 150 YServer.txt
21.01.2006 15:31 192 BcBtRmv.log
20.01.2006 21:29 125 write.log
20.01.2006 21:29 4.333 preupd.log
20.01.2006 21:06 0 CONFIG.SYS
20.01.2006 21:06 0 IO.SYS
20.01.2006 21:06 0 MSDOS.SYS
20.01.2006 21:06 0 AUTOEXEC.BAT

So un jetzt noch der Report

HKLM\S-1-5-21-1390067357-790525478-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:U:\Nygr Qngra\Cebtf\[navzbgvpba]ZFA Zrffratre 7 203 Jvaxf 76 Zbbqf 143 Fzvyrf + ZPB V 14.04.2006 22:58 16 bytes Hidden from Windows API.
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 22.01.2006 23:42 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 27.01.2006 15:51 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 22.01.2006 23:45 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 20.01.2006 22:22 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40 25.02.2006 12:43 0 bytes Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03S0I.htm 14.04.2006 17:05 31.67 KB Visible in Windows API, but not in MFT or directory index.
D:\Programme\Opera\profile\cache4\opr03T23.htm 14.04.2006 22:52 31.72 KB Visible in Windows API, but not in MFT or directory index.
D:\Programme\Opera\profile\cache4\opr03T3H.gif 14.04.2006 23:01 35 bytes Visible in Windows API, but not in MFT or directory index.
D:\Programme\Opera\profile\cache4\opr03T41.gif 14.04.2006 23:21 331 bytes Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T42.htm 14.04.2006 23:21 312 bytes Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T43.htm 14.04.2006 23:21 20.59 KB Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T44.gif 14.04.2006 23:21 43 bytes Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T45.htm 14.04.2006 23:22 294 bytes Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T46.ico 14.04.2006 23:22 2.44 KB Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T48.htm 14.04.2006 23:22 31.67 KB Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T49.gif 14.04.2006 23:22 43 bytes Hidden from Windows API.
D:\Programme\Opera\profile\cache4\opr03T4A.gif 14.04.2006 23:22 43 bytes Hidden from Windows API.


hoffe ich habe alles richtig gemacht.

Herzlich Dank im voraus

OvanCook
Seitenanfang Seitenende
15.04.2006, 09:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 OvanCook

abgesehen von einem keyg*hier nicht*...EA.Games.Multi.keyg*hier nicht*.(77).exe... (sind normalerweise nicht koscher)...finde ich nichts.
Poste bitte den scanreport vom Antivirus (oder diesen Teil. wenn die Meldung dieser sys.Datei kommt.
+
das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 13:00
Member

Beiträge: 11
#18 Hallöchen!!

Ja dieses Teil ist mir selber aufgefallen!! Habe es dann auch gleich gelöscht. Vielleicht habe ich die Viren ja jetzt halbwegs in den Griff bekommen..... aber wie bekomme ich meine Rechte zurück?! Kann man da irgendwas machen?!

gruß
OvanCook
Seitenanfang Seitenende
15.04.2006, 14:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
15.04.2006, 15:35
Member

Beiträge: 11
#20 Nochmal Danke für die Super Hilfe!!!

also silentrunner ging am anfang nicht aber mit der beschreibung habe ich es dann zum laufen bekommen. So und hier der Report

"Silent Runners.vbs", revision 44, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"Generic Host Process" = "C:\WINDOWS\system32\scvhost.exe" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"avgnt" = ""D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["H+BEDV Datentechnik GmbH"]
"Tweak UI" = "RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"Logitech Hardware Abstraction Layer" = "KHALMNPR.EXE" ["Logitech Inc."]
"RemoteControl" = "d:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"DAEMON Tools" = ""d:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Labtec Inc."]
"LogitechVideoRepair" = "d:\Programme\Logitech\Video\ISStart.exe " ["Labtec Inc."]
"LogitechVideoTray" = "d:\Programme\Logitech\Video\LogiTray.exe" ["Labtec Inc."]
"Share-to-Web Namespace Daemon" = "D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" ["Hewlett-Packard"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"TI WLAN" = "C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe" [empty string]
"AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "D:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\PROGRA~1\MICROS~1\OFFICE11\msohev.dll" [MS]
"{6af09ec9-b429-11d4-a1fb-0090960218cb}" = "My Bluetooth Places"
-> {HKLM...CLSID} = "Bluetooth-Umgebung"
\InProcServer32\(Default) = "C:\WINDOWS\system32\BTNEIG~1.DLL" ["WIDCOMM, Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "D:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{ABC70703-32AF-11d4-90C4-D483A70F4825}" = "CMenuExtender"
-> {HKLM...CLSID} = "CMenuExtender"
\InProcServer32\(Default) = "d:\programme\WINDOWS style\Vista Inspirat\iColorFolder\CMExt.dll" ["Revenger inc."]
"{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451}" = "OODefrag"
-> {HKLM...CLSID} = "OODShellExtObj Class"
\InProcServer32\(Default) = "D:\PROGRA~1\DEFRAG~1\oodsh.dll" ["O&O Software GmbH"]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""D:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "My Labtec Pictures"
-> {HKLM...CLSID} = "My Labtec Pictures"
\InProcServer32\(Default) = "D:\Programme\Logitech\Video\Namespc2.dll" ["Labtec Inc."]
"{A4DF5659-0801-4A60-9607-1C48695EFDA9}" = "Ordner HP Share-to-Web"
-> {HKLM...CLSID} = "Ordner HP Share-to-Web"
\InProcServer32\(Default) = "D:\Programme\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL" ["Hewlett-Packard"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "d:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension"
-> {HKLM...CLSID} = "AVG7 Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension"
-> {HKLM...CLSID} = "AVG7 Find Extension Class"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\System\CurrentControlSet\Control\Session Manager\


so un nu noch den WinPfind Report:

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
aspack 18.03.2005 18:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll
aspack 26.05.2005 16:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll
aspack 22.07.2005 20:59:04 2319568 C:\WINDOWS\SYSTEM32\d3dx9_27.dll
aspack 05.12.2005 19:09:18 2323664 C:\WINDOWS\SYSTEM32\d3dx9_28.dll
PEC2 05.08.2004 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 14.04.2006 00:15:14 21536 C:\WINDOWS\SYSTEM32\EA.Games.Multi.keyg*hier nicht*.(77).exe
aspack 05.08.2004 14:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 05.08.2004 14:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 05.08.2004 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
UPX! 14.04.2006 02:21:54 763616 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
FSG! 14.04.2006 02:21:54 763616 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
PEC2 14.04.2006 02:21:54 763616 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
aspack 14.04.2006 02:21:54 763616 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
15.04.2006 15:18:54 S 2048 C:\WINDOWS\bootstat.dat
16.03.2006 01:29:22 H 3981366 C:\WINDOWS\system32\toyhide.bmp
14.03.2006 04:11:24 S 17519 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem38.CAT
15.04.2006 15:19:58 H 1024 C:\WINDOWS\system32\config\default.LOG
17.03.2006 16:57:46 H 0 C:\WINDOWS\system32\config\default_TU_45770.LOG
14.04.2006 18:57:48 H 0 C:\WINDOWS\system32\config\default_TU_53033.LOG
15.04.2006 15:19:06 H 1024 C:\WINDOWS\system32\config\SAM.LOG
14.04.2006 18:57:48 H 0 C:\WINDOWS\system32\config\SAM_TU_19857.LOG
17.03.2006 16:57:46 H 0 C:\WINDOWS\system32\config\SAM_TU_50577.LOG
15.04.2006 15:19:58 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
14.04.2006 18:57:46 H 0 C:\WINDOWS\system32\config\SECURITY_TU_26963.LOG
17.03.2006 16:57:46 H 0 C:\WINDOWS\system32\config\SECURITY_TU_95761.LOG
15.04.2006 15:23:06 H 1024 C:\WINDOWS\system32\config\software.LOG
14.04.2006 18:57:46 H 0 C:\WINDOWS\system32\config\software_TU_23703.LOG
17.03.2006 16:57:46 H 0 C:\WINDOWS\system32\config\software_TU_89984.LOG
15.04.2006 15:21:38 H 1024 C:\WINDOWS\system32\config\system.LOG
14.04.2006 18:57:46 H 0 C:\WINDOWS\system32\config\system_TU_60682.LOG
17.03.2006 16:57:46 H 0 C:\WINDOWS\system32\config\system_TU_83789.LOG
14.04.2006 15:01:00 H 81 C:\WINDOWS\system32\GroupPolicy\Adm\admfiles.ini
15.04.2006 15:18:56 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
25.05.2004 18:06:58 417792 C:\WINDOWS\SYSTEM32\ac3filter.cpl
Microsoft Corporation 05.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\access.cpl
Realtek Semiconductor Corp. 17.08.2005 12:25:20 R 18771968 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL
Microsoft Corporation 05.08.2004 14:00:00 659968 C:\WINDOWS\SYSTEM32\appwiz.cpl
WIDCOMM, Inc. 01.12.2003 16:25:00 245825 C:\WINDOWS\SYSTEM32\btcpl.cpl
Microsoft Corporation 05.08.2004 14:00:00 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Labtec Inc. 19.01.2005 12:38:28 282624 C:\WINDOWS\SYSTEM32\camcpl.cpl
Microsoft Corporation 05.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 18.08.2003 07:10:24 122880 C:\WINDOWS\SYSTEM32\directx.cpl
Microsoft Corporation 05.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 05.08.2004 14:00:00 472576 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 05.08.2004 14:00:00 2115584 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 05.08.2004 14:00:00 269824 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 05.08.2004 14:00:00 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 05.08.2004 14:00:00 206336 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 14:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 05.08.2004 14:00:00 631296 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 05.08.2004 14:00:00 909312 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 05.08.2004 14:00:00 167936 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 05.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 05.08.2004 14:00:00 407040 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
09.03.2006 15:29:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 05.08.2004 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 05.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 05.08.2004 14:00:00 382976 C:\WINDOWS\SYSTEM32\powercfg.cpl
Silicon Image 26.05.2005 07:57:34 R 78336 C:\WINDOWS\SYSTEM32\SilSupp.cpl
25.03.2003 07:49:02 98304 C:\WINDOWS\SYSTEM32\startup.cpl
Microsoft Corporation 05.08.2004 14:00:00 475648 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 05.08.2004 14:00:00 166400 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 05.08.2004 14:00:00 230912 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 25.03.2003 07:49:02 106544 C:\WINDOWS\SYSTEM32\tweakui.cpl
17.02.2004 12:11:00 53248 C:\WINDOWS\SYSTEM32\vp6dec_settings.cpl
Microsoft Corporation 05.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 05.08.2004 14:00:00 162816 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 05.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 05.08.2004 14:00:00 659968 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 05.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 05.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl
Microsoft Corporation 05.08.2004 14:00:00 472576 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 05.08.2004 14:00:00 2115584 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 05.08.2004 14:00:00 269824 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 05.08.2004 14:00:00 206336 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 05.08.2004 14:00:00 631296 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 05.08.2004 14:00:00 909312 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 05.08.2004 14:00:00 167936 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 05.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl
Microsoft Corporation 05.08.2004 14:00:00 407040 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 05.08.2004 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 05.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 05.08.2004 14:00:00 382976 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 05.08.2004 14:00:00 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 05.08.2004 14:00:00 475648 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 05.08.2004 14:00:00 166400 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 05.08.2004 14:00:00 230912 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 05.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 05.08.2004 14:00:00 162816 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
05.04.2006 18:47:28 1606 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
17.03.2006 17:12:08 495 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Aqua Real Active Desktop.lnk
21.01.2006 18:30:42 537 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
20.01.2006 21:07:00 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
28.03.2006 12:34:08 748 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk

Checking files in %ALLUSERSPROFILE%\Application Data folder...
09.02.2006 01:22:52 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
21.01.2006 04:00:16 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
20.01.2006 21:07:00 HS 84 C:\Dokumente und Einstellungen\Caipi\Startmenü\Programme\Autostart\desktop.ini
29.01.2006 22:13:12 71 C:\Dokumente und Einstellungen\Caipi\Startmenü\Programme\Autostart\mount.bat
23.01.2006 21:40:52 880 C:\Dokumente und Einstellungen\Caipi\Startmenü\Programme\Autostart\Stardock ObjectDock.lnk
13.04.2006 20:49:02 629 C:\Dokumente und Einstellungen\Caipi\Startmenü\Programme\Autostart\Yahoo! Widget Engine.lnk

Checking files in %USERPROFILE%\Application Data folder...
21.01.2006 04:00:16 HS 62 C:\Dokumente und Einstellungen\Caipi\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
=

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\OODefrag
{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451} = D:\PROGRA~1\DEFRAG~1\oodsh.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "D:\Programme\TuneUp Utilities 2006\sdshelex.dll"
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = d:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\OODefrag
{48EAD1E1-ECF2-4a85-AA09-1C44FBEED451} = D:\PROGRA~1\DEFRAG~1\oodsh.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = d:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\CMenuExtender
{ABC70703-32AF-11d4-90C4-D483A70F4825} = d:\programme\WINDOWS style\Vista Inspirat\iColorFolder\CMExt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\TuneUp Shredder
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} = "D:\Programme\TuneUp Utilities 2006\sdshelex.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = d:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
Adobe PDF Reader Link Helper = D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
SSVHelper Class = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4528BBE0-4E08-11D5-AD55-00010333D0AD}
=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66}
MenuText = Uninstall BitDefender Online Scanner v8 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherchieren :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F}
ButtonText = @btrez.dll,-4015 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{4528BBE0-4E08-11D5-AD55-00010333D0AD}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = Yahoo! Toolbar :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
BluetoothAuthenticationAgent rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
SoundMan SOUNDMAN.EXE
avgnt "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
Tweak UI RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
Logitech Hardware Abstraction Layer KHALMNPR.EXE
RemoteControl d:\Programme\CyberLink\PowerDVD\PDVDServ.exe
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
DAEMON Tools "d:\Programme\DAEMON Tools\daemon.exe" -lang 1033
LVCOMSX C:\WINDOWS\system32\LVCOMSX.EXE
LogitechVideoRepair d:\Programme\Logitech\Video\ISStart.exe
LogitechVideoTray d:\Programme\Logitech\Video\LogiTray.exe
Share-to-Web Namespace Daemon D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Adobe Photo Downloader "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
TI WLAN C:\Programme\Wirelwss LAN Utility\TIWLANCu.exe
AVG7_CC C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
NvMediaCenter RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Generic Host Process C:\WINDOWS\system32\scvhost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp
Disabled 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableTaskMgr 0
DisableRegistryTools 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier
= WRLogonNTF.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 15.04.2006 15:26:46


finde es schon echt fazinierend wie man aus solch einem Gewirr noch nützlich Infos rauszieht :-)
Seitenanfang Seitenende
15.04.2006, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 OvanCook

win32:ciadoor-21
http://virus-protect.org/artikel/dienste/wsock32sys.html

1.
Start->Ausführen --> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = den ganzen Schluessel loeschen)

DisableRegistryTools = den ganzen Schluessel loeschen)

------

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

-----------------
2.
bearbeiten -> suchen --> scvhost.exe und Generic Host Process

alles loeschen was du findest. u.a.:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

-----------
3.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\set\set\set --> loeschen

-----------
4.
PC neustarten

----------
5.
Die XP-Firewall wieder aktivieren [Windows-Firewall/Gemeinsame Nutzung der Internetverbindung]

http://www.wintotal.de/Tipps/Eintrag.php?TID=1157

----------------

Zitat

dann sehen wir weiter....
14.04.2006 15:01:00 H 81 C:\WINDOWS\system32\GroupPolicy\Adm\admfiles.ini

Im Ordner "Adm" befinden sich die Dateien:

admfiles.ini
conf.adm
inetres.adm
system.adm
wmplayer.adm

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2006, 17:13
Member

Beiträge: 11
#22 So!!

also eingabeaufforderung geht ja schon mal wieder

Zitat:
dann sehen wir weiter....
14.04.2006 15:01:00 H 81 C:\WINDOWS\system32\GroupPolicy\Adm\admfiles.ini

Im Ordner "Adm" befinden sich die Dateien:

admfiles.ini
conf.adm
inetres.adm
system.adm
wmplayer.adm


da finde ich gar nichts.

Und die Systemwiederherstellung geht immernoch nicht?!

Was kann ich denn noch tun?!

p.s. diese Datei svchost.sys ist wieder in windows/system32 und kann nicht gelöscht werden.
Dieser Beitrag wurde am 15.04.2006 um 17:31 Uhr von OvanCook editiert.
Seitenanfang Seitenende
15.04.2006, 23:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Start - Ausfuehren - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR = "dword:00000001" --> auf 0 setzen

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR = "dword:00000001" --> auf 0 setzen

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2006, 13:14
Member

Beiträge: 11
#24 Also ich weiß nicht was mich geritten hat das ich aus einer .exe. eine .sys mache... Sorry!

Die beiden REG Einträge habe ich woanders gefunden als beschrieben. Habe den Wert geändert.

Jetzt auf einmal kommt aber immer:

Die Systemwiederherstellung kann den Computer nicht sichern. Starten Sie den Computer neu, und führen Sie die Systemwiederherstellung erneut aus.

Neu gestartet habe ich jetzt schon mehrmals aber diese Nachricht kommt immer wieder.

Meine ganzen Probs sind mich echt schon langsam irre peinlich. :-)

Trotzdem herzlichen Dank
Seitenanfang Seitenende
16.04.2006, 15:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 wir machen es mal ganz anders,
mache eine Systemwiederherstellung...schaffst du das ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2006, 17:22
Member

Beiträge: 11
#26 das ist ja mein eigentliches Problem. Wie ich in meinem letzten thread gepostet habe. Oder gibt es noch ne andere methode?
Seitenanfang Seitenende
16.04.2006, 17:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 nun, die gibt es und da der PC hoffnungslos korrumpiert zu sein scheint...sichere alles wichtigen (aber keine ausfuehrbaren Dateien) ...und formatiere.
(und vermeide in Zukunft KeyGens u.a.)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.04.2006, 18:10
Member

Beiträge: 11
#28 Ohhhh noooo!! nicht formatieren! eigentlich geht ja wieder alles nur das mit dem systemwiederherstellen nicht. Kann man da gar nichts mehr machen?!
Seitenanfang Seitenende
16.04.2006, 18:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 buegel mal mit Kaspersky-Online drueber und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2006, 04:26
Member

Beiträge: 11
#30 Moin moin!!

also mein Report vo Kapersky:

Total number of scanned files: 130077
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 01:30:57

Das sieht doch eigentlich ganz gut aus....

jetzt müssen wir nur noch die Systemwiederherstellungskonsole richtig hinbekommen.

P.s. Special thanks to Sabina
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: