SpyFalcon 2.0 - DatfindBat |
||
---|---|---|
#0
| ||
02.05.2006, 09:25
...neu hier
Beiträge: 3 |
||
|
||
02.05.2006, 13:53
Ehrenmitglied
Beiträge: 29434 |
#2
MataHari
Gehe in die Registry Start-Ausfuehren - regedit HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Saar <--loeschen Lreeb <--loeschen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run dcomcfg.exe <--loeschen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\ "{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}" = "Twain" --> loeschen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {b0398eca-0bcd-4645-8261-5e9dc70248d0} --> loeschen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ winnkw32.dll --> loeschen ------------------------------------------------------------------------ Laden und alles auf dem Desktop entpacken: ** SmitRem2.8 http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 Doppelklick: smitRem.exe -> Klicke: Start --> klicke: ok ** BFU (Brute Force Uninstaller) kann man hier herunterladen: --> http://www.merijn.org/files/bfu.zip ** spyfalcon.bfu http://virus-protect.org/artikel/bfu/spyfalcon.zip (entpacken) -> Datei spyfalcon.bfu ----------------------------------------------------------------- 2. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ C:\DOKUME~1\cwolf\LOKALE~1\Temp\ppinfo.dat C:\WINDOWS\TEMP\saE1.exe C:\DOKUME~1\cwolf\LOKALE~1\Temp\ppv5exc.dat C:\DOKUME~1\cwolf\LOKALE~1\Temp\pploc.dat C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx C:\WINDOWS\YAXUninst.exe C:\WINDOWS\system32\stdole3.tlb C:\WINDOWS\system32\simpole.tlb C:\WINDOWS\system32\hp9C97.tmp C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\ot.ico C:\WINDOWS\system32\ts.ico C:\WINDOWS\system32\oins.exe C:\WINDOWS\system32\winnkw32.dll C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\mtuninst.exe Starte den PC neu --> in den abgesicherten Modus (Taste F8 drücken, wenn der PC hochfährt) 3. Öffne den Brute Force Uninstaller * - klicke auf --> --> und suche die spyfalcon.bfu (unter Desktop) --> öffnen * show log after script ends (anhaken) * Execute klicken 4. öffne smitRem --> Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) wenn ein uninstaller vorhanden ist, den smitRem entfernt, wird der uninstaller gestartet. Klicke einfach den Uninstall button und warte, bis deinstalliert wurde. boote wieder in den normalmodus 5. deaktiviere die Systemwiederherstellung (XP) (nach der Reinigung wieder aktivieren) Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (nach der Reinigung wieder aktivieren ) 6. scanne mit ewido und poste den scanreport http://virus-protect.org/ewido.html ---------- auf dem PC befindet sich auch ein Purityscan, deshalb sehen wir dann weiter, wenn alles abgearbeitet ist. "Saar" = ""C:\WINDOWS\SKS~1\javaw.exe" -vt mt" "Lreeb" = "C:\WINDOWS\system32\**stem\m*config.exe" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2006, 14:32
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo Sabina,
bin nun durch alle Steps hindurch. Und hab mir "irgendwie" helfen können 8-) nach mehrmaligem Durchscannen mit div. Online-Scannern, glaube ich nun behaupten zu können, dass ich viren- und trojanerfrei bin. Hab zwar des öfteren gelesen, dass sich beim ein oder anderen wieder etwas eingeschlichen hat, hoffe aber dies nicht mitmachen zu müssen. Möchte mich bei Dir und Deiner außerordentlichen Hilfe einfach mal bedanken. Super Klasse, was Du da machst. Merci bien. Liebe Grüsse PS: Scanne nun nochmal miteScan drüber. Wenn der auch nix mehr findet, dann sollte es doch das gewesen sein, oder? |
|
|
||
02.05.2006, 14:38
Ehrenmitglied
Beiträge: 29434 |
#4
nach dem , was ich gesehen habe...solltest du alle Punkte (siehe oben) abarbeiten..schon wegen dem Purityscan
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.05.2006, 17:08
...neu hier
Themenstarter Beiträge: 3 |
#5
Okay. Dann werde ich mich mal dahinter klemmen und das abarbeiten. Werde mich dann allerdings erst heute (Spät-)Abend bzw. morgen melden.
DAnke einstweilen und bis denn ... |
|
|
||
Danke vorerst mal an Sabina für die umfassenden Hilfestellungen zum o.g. Thema. Habe bereits wie unter http://virus-protect.org/artikel/spyware/spyfalcon.html beschrieben die ersten 13 Schritte durchgeführt. Da ich nun beim Schritt mit der datfindbat angekommen bin, ich allerdings das logfile nicht "richtig lesen" kann, bitte ich um eure Hilfe. Zudem hatte ich das Probelem, dass einige, anscheinend infizierte Dateien (bei vorherigen Schritten) nicht löschbar waren - selbst im abgesicherten Modus nicht! Diese waren:
C:\WINDOWS\system32\dcomcfg.exe
und
C:\WINDOWS\system32\winnkw32.dll
Im Anhang die Txt-Files der Datfindbat.
_______________________________
So ich nochmal,
da ich nicht genau weiß, welche Infos für Euch interessant sein könnten oder was ihr noch wissen müsst, hänge ich hier einfach mal sämtliche logfiles an, die mir die einzelnen Programme ausspucken.
Bin imer noch beim 13. Schritt und komm so langsam ins Schwitzen, weil ich nicht genau weiß ob ich wirklich alles richtig mache. Sprich, mir ist nicht klar, wozu die ganzen Logfiles, wo ich doch (noch?) gar nix mit anfange?! Zudem irritiert mich, dass bei mir der REGISTRY SEARCH eben nur die Registry durchscannt, in Sabinas Anleitung (URL s.o.) aber am Ende noch Dokumente u Einstellungen sowie System32 usw. aufgeführt sind.
Mach ich was verkehrt?! Danke vielmals für die Unterstützung. Ihr seid meine letzte Hilfe.
Danke vielmals für eure Hilfe. Bis denn.
MH
-----
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1
; Results at 02.05.2006 10:30:35 for strings:
; 'spyfalcon'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SOFTWARE\SUPERAntiSpyware.com\SUPERAntiSpyware\InUseFiles]
"File5"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SASDIFSV\FilesToDelete]
"File5"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SASDIFSV\FilesToDelete]
"File5"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SASDIFSV\FilesToDelete]
"File5"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1 Website.lnk"
"File6"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\SpyFalcon 3.1.lnk"
"File7"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon\\Uninstall SpyFalcon 3.1.lnk"
"File8"="\\??\\C:\\Dokumente und Einstellungen\\cwolf\\Startmenü\\Programme\\SpyFalcon"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]
[HKEY_USERS\S-1-5-20\Software\Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]
[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]
[HKEY_USERS\S-1-5-21-2366685372-65163250-1398395862-1143\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\TEMP\\saE1.exe"="SpyFalcon Installer"
"C:\\Programme\\SpyFalcon\\SpyFalcon.exe"="Anti- spyware and adware"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl10]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl2]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl3]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl4]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl5]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\dl9]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalcon.com\www]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com]
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\spyfalconupdate.com\www]
; End Of The Log...
----
Hier nun noch das Silentrunner Logfile. Ich hoffe schwer, dass ich hier nicht gegen die Boardregeln in irgendeiner Art und Weise verstoße??! Wenn doch, sorry vielmals und bitte korrigiert mich ;-):
----Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Saar" = ""C:\WINDOWS\SKS~1\javaw.exe" -vt mt" [null data]
"Lreeb" = "C:\WINDOWS\system32\**stem\m*config.exe" (unwritable string) [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
"dcomcfg.exe" = "dcomcfg.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "C:\WINDOWS\system32\mobsync.exe /logon" [MS]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"OfficeScanNT Monitor" = ""C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow" ["Trend Micro Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"AdobeVersionCue" = "C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe" ["Adobe Sytems"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."]
"routcnf" = "C:\Programme\DeTeWe\TA 33 USB\routcnf.exe /capiactive" [file not found]
"CallBumping" = "cbpopw.exe" [null data]
"Google Desktop Search" = ""C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup" [null data]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{b0398eca-0bcd-4645-8261-5e9dc70248d0}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\hp9AFD.tmp" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{CA14EE13-ED15-C4A2-17FF-DA4D15C1BC5E}" = "Twain"
-> {HKCU...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\twain32.dll" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}" = (no title provided)
-> {HKLM...CLSID} = "SABShellExecuteHook Class"
\InProcServer32\(Default) = "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" ["SuperAdBlocker.com"]
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL" [null data]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.dll" ["SUPERAntiSpyware.com"]
INFECTION WARNING! winnkw32\DLLName = "winnkw32.dll" [null data]
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Startup items in "CWolf" & "All Users" startup folders:
-------------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe" ["Adobe Systems Inc."]
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"D-Link AirPlus G+ Wireless Adapter Utility" -> shortcut to: "C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE" ["D-Link"]
"hpoddt01.exe" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" ["Hewlett-Packard"]
Enabled Scheduled Tasks:
------------------------
"FRU Task #Hewlett-Packard#hp psc 1000 series#1142620449" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1000 series#1142620449"" [empty string]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]
Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF"
\InProcServer32\(Default) = "C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [file not found]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
OfficeScanNT Echtzeitsuche, ntrtscan, "C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe" ["Trend Micro Inc."]
OfficeScanNT Listener, tmlisten, "C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe" ["Trend Micro Inc."]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]
hpzsnt07\Driver = "hpzsnt07.dll" ["HP"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
WinSuite Fax Monitor\Driver = "wsfaxmon.dll" [null data]
----
Dann hab ich noch ne Frage zu den bereits gelöschten Dateien (unter Schritt 4 KILLBOX): Ist das normalm, dass die nun immer wieder auftauchen in den Logfiles - mit veränderten Werten. Ich habe sie doch bereits eliminiert!
Danke vielmals.