Grüss euch! winlogon.exe infiziert? hijackthis-log vorhanden |
||
---|---|---|
#0
| ||
11.05.2006, 14:08
...neu hier
Beiträge: 5 |
||
|
||
11.05.2006, 14:55
Ehrenmitglied
Beiträge: 29434 |
#2
1.
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. RootkitRevealer poste das Log http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.05.2006, 15:09
...neu hier
Themenstarter Beiträge: 5 |
#3
Sodele, hier erst einmal die datfind.bat:
Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 1C4C-B577 Verzeichnis von F:\WINDOWS\system32 11.05.2006 15:01 19'043 ospcont.dat 11.05.2006 13:39 1'080 settings.sfm 11.05.2006 13:39 1'080 settingsbkup.sfm 11.05.2006 13:39 11'564 DVCState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 11.05.2006 13:39 32'592 BMXStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 11.05.2006 13:39 32'088 BMXBkpCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 11.05.2006 13:39 32'088 BMXCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 11.05.2006 13:39 32'592 BMXState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx 02.05.2006 17:15 2'278 wpa.dbl 29.04.2006 01:35 4'212 zllictbl.dat 28.04.2006 23:34 122'900 tudoiweu.dll 28.04.2006 21:15 167'956 __delete_on_reboot__qnsyjqtv.dll 28.04.2006 21:09 122'900 mdxkddiv.dll 28.04.2006 18:45 122'900 cregcowq.dll 28.04.2006 18:45 167'956 __delete_on_reboot__rtxpdasn.dll 27.04.2006 16:06 143 flvmc.tmp 26.04.2006 23:21 100 LuResult.txt 26.04.2006 21:00 15'271 xcbfhlja.dll 26.04.2006 21:00 2'640 dcnxpfba.dll 26.04.2006 19:27 0 filter.drv 26.04.2006 18:21 122'900 wbegxwai.dll 26.04.2006 18:21 167'956 __delete_on_reboot__hgbqeabl.dll 26.04.2006 18:21 688'148 dssoundi.dll 26.04.2006 18:20 1'038 dmxaoaaa.exe 26.04.2006 18:20 10'240 gpakaaaa.exe 28.03.2006 01:21 1'100 d3d8caps.dat 25.03.2006 22:06 26'286 lvcoinst.log 22.02.2006 05:46 256'512 ati2dvag.dll 22.02.2006 05:41 114'688 atipdlxx.dll 22.02.2006 05:40 77'824 Oemdspif.dll 22.02.2006 05:40 26'112 Ati2mdxx.exe 22.02.2006 05:40 40'960 ati2edxx.dll 22.02.2006 05:40 61'440 ati2evxx.dll 22.02.2006 05:39 405'504 ati2evxx.exe 22.02.2006 05:38 53'248 ATIDDC.DLL 22.02.2006 05:30 2'636'672 ati3duag.dll 22.02.2006 05:27 6'684'672 atioglx1.dll 22.02.2006 05:24 860'480 ativvaxx.dll 22.02.2006 05:20 307'200 atiiiexx.dll 22.02.2006 05:11 5'124'096 atioglxx.dll 22.02.2006 05:11 151'552 atikvmag.dll 22.02.2006 05:10 17'408 atitvo32.dll 22.02.2006 05:04 258'048 ati2cqag.dll 22.02.2006 04:21 282'624 ATIDEMGR.dll 21.02.2006 21:05 520'192 ati2sgag.exe 15.02.2006 20:49 7'006 jupdate-1.5.0_06-b05.log 13.02.2006 22:29 121'995 atiicdxx.dat 03.02.2006 02:27 98'304 CmdLineExt.dll 24.01.2006 19:34 118'784 sirenacm.dll Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 1C4C-B577 Verzeichnis von F:\DOKUME~1\Me\LOKALE~1\Temp 11.05.2006 15:00 16'384 Perflib_Perfdata_950.dat 11.05.2006 15:00 16'384 Perflib_Perfdata_d34.dat 11.05.2006 15:00 16'384 Perflib_Perfdata_c34.dat 11.05.2006 15:00 773 LVCOMSX.LOG 11.05.2006 14:26 16'384 ~DFC19F.tmp 5 Datei(en) 66'309 Bytes 0 Verzeichnis(se), 2'478'682'112 Bytes frei Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 1C4C-B577 Verzeichnis von F:\WINDOWS 11.05.2006 15:00 4'958'588 {00000000-00000000-00000009-00001102-00000004-20021102}.CDF 11.05.2006 14:59 4'958'588 {00000000-00000000-00000009-00001102-00000004-20021102}.BAK 11.05.2006 13:48 0 0.log 11.05.2006 13:48 159 wiadebug.log 11.05.2006 13:48 50 wiaservc.log 11.05.2006 13:48 2'048 bootstat.dat 11.05.2006 13:47 2'085'317 WindowsUpdate.log 11.05.2006 13:47 227 system.ini 11.05.2006 13:47 620 win.ini 11.05.2006 13:38 32'090 SchedLgU.Txt 11.05.2006 12:47 365'365 wmsetup.log 11.05.2006 12:47 116 NeroDigital.ini 11.05.2006 00:15 1'073'041'408 MEMORY.DMP 09.05.2006 00:26 956'056 setupapi.log 03.05.2006 23:56 84'542 setupact.log 29.04.2006 19:59 54'156 QTFont.qfn 29.04.2006 16:39 1'270 fsdgunst.log 29.04.2006 16:39 3'004 fsmaunin.log 29.04.2006 16:38 458 FSGUIINS.LOG 29.04.2006 16:38 590 HELPINST.LOG 29.04.2006 16:38 557 daasunin.LOG 29.04.2006 16:38 492 fstnbins.LOG 29.04.2006 16:38 43'755 fsavunin.log 29.04.2006 16:38 1'952 FSASWUNI.LOG 29.04.2006 16:38 25'693 FSASWSIN.log 29.04.2006 16:38 4'216 FSPCUNIN.LOG 29.04.2006 16:38 22'301 fwesinst.log 29.04.2006 16:36 13'958 fwinst.log 29.04.2006 16:36 7'781 fsbwinst.log 29.04.2006 15:44 3'566 fsiuupd.log 29.04.2006 15:36 5'782'345 FSISU.log 29.04.2006 15:36 2'962'618 FSSFM.log 29.04.2006 15:36 264'664 RunSetup.log 29.04.2006 15:36 156'707 FSPROD.log 29.04.2006 15:36 1'003'828 FSSETUP.log 29.04.2006 15:36 17'062 fsmainst.log 29.04.2006 15:36 5'206 FSSYSUPD.LOG 29.04.2006 15:36 20'217 FSPCINST.LOG 29.04.2006 15:36 4'190 NEWSINST.LOG 29.04.2006 15:36 7'966 FSAVCSIN.LOG 29.04.2006 15:36 13'542 FSASWINS.LOG 29.04.2006 15:36 2'022 fsdginst.log 29.04.2006 15:36 10'992 fsrif.log 29.04.2006 15:36 32'879 FSAVINST.LOG 29.04.2006 15:36 2'175 DAASINST.LOG 29.04.2006 15:36 12'496 FSSGSUP.LOG 29.04.2006 15:36 108'064 FSDEPH.log 29.04.2006 15:35 437'044 fssgpex.LOG 29.04.2006 15:34 2'432 FSPRODRM.LOG 29.04.2006 15:33 2'173 Q-Klez.log 29.04.2006 11:48 550 KB893803v2Uninst.log 27.04.2006 23:12 23 BlendSettings.ini 27.04.2006 17:23 99'970 UninstallFirefox.exe 27.04.2006 17:23 9'489 mozver.dat 26.04.2006 23:40 14'204 LUINSTALL.LOG 26.04.2006 23:20 1'056 MININU.LOG 12.04.2006 22:05 1'409 QTFont.for 08.04.2006 03:17 748 unins000.dat 08.04.2006 03:17 675'756 unins000.exe 27.03.2006 22:11 402'652 DirectX.log 14.03.2006 11:45 500 GEARInstall.log 28.02.2006 23:28 1'125 winamp.ini 27.01.2006 13:04 748 ODBC.INI Volume in Laufwerk F: hat keine Bezeichnung. Volumeseriennummer: 1C4C-B577 Verzeichnis von F:\ 11.05.2006 15:04 0 sys.txt 11.05.2006 15:04 12'627 system.txt 11.05.2006 15:03 524 systemtemp.txt 11.05.2006 15:02 108'948 system32.txt 11.05.2006 13:48 2'147'483'648 pagefile.sys 03.05.2006 23:55 3'113 smitfiles.txt 24.05.2005 18:43 36 klextlock.dat 7 Datei(en) 2'147'608'896 Bytes 0 Verzeichnis(se), 2'478'682'112 Bytes frei Das RootkitReveallog reiche ich gleich nach [/edit] Rootkitrevealer sagt mir: Scan Complete: no discrenpancies found Ebenso ist die .txt Daetei leer Danke vielmals für die schnelle Hilfe, aber ich glaube, das Thema ist noch nicht vom Tisch, was? Dieser Beitrag wurde am 11.05.2006 um 15:20 Uhr von Rindy editiert.
|
|
|
||
11.05.2006, 15:34
Ehrenmitglied
Beiträge: 29434 |
#4
Rindy
1. ich will wissen was es ist und welche virenscanner es erkennen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html F:\WINDOWS\system32\dssoundi.dll F:\WINDOWS\system32\dmxaoaaa.exe F:\WINDOWS\system32\gpakaaaa.exe Ergebnis hier bitte posten -------------------------------------------------------------- 2. KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: ............ F:\WINDOWS\system32\ospcont.dat F:\WINDOWS\system32\tudoiweu.dll F:\WINDOWS\system32\__delete_on_reboot__qnsyjqtv.dll F:\WINDOWS\system32\mdxkddiv.dll F:\WINDOWS\system32\cregcowq.dll F:\WINDOWS\system32\__delete_on_reboot__rtxpdasn.dll F:\WINDOWS\system32\flvmc.tmp F:\WINDOWS\system32\LuResult.txt F:\WINDOWS\system32\xcbfhlja.dll F:\WINDOWS\system32\dcnxpfba.dll F:\WINDOWS\system32\filter.drv F:\WINDOWS\system32\wbegxwai.dll F:\WINDOWS\system32\__delete_on_reboot__hgbqeabl.dll F:\WINDOWS\system32\dssoundi.dll F:\WINDOWS\system32\dmxaoaaa.exe F:\WINDOWS\system32\gpakaaaa.exe PC neustarten 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: CIEPl Object - {83B14523-CBC9-447B-8B1E-2482DB2ABE73} - F:\WINDOWS\system32\dssoundi.dll O20 - Winlogon Notify: dssoundi - F:\WINDOWS\SYSTEM32\dssoundi.dll O20 - Winlogon Notify: hgbqeabl - hgbqeabl.dll (file missing) O20 - Winlogon Notify: qnsyjqtv - qnsyjqtv.dll (file missing) O20 - Winlogon Notify: rtxpdasn - rtxpdasn.dll (file missing) PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.05.2006, 19:24
...neu hier
Themenstarter Beiträge: 5 |
#5
Also, erst mal die Virustotalergebnisse:
STATUS: FINISHEDComplete scanning result of "dssoundi.dll", received in VirusTotal at 05.11.2006, 19:17:11 (CET). Antivirus Version Update Result AntiVir 6.34.1.27 05.11.2006 no virus found Avast 4.6.695.0 05.11.2006 no virus found AVG 386 05.11.2006 no virus found BitDefender 7.2 05.11.2006 Backdoor.Agent.GR CAT-QuickHeal 8.00 05.11.2006 no virus found ClamAV devel-20060426 05.11.2006 no virus found DrWeb 4.33 05.11.2006 Trojan.Virtumod eTrust-InoculateIT 23.72.5 05.11.2006 no virus found eTrust-Vet 12.4.2205 05.11.2006 Win32/Vundo Ewido 3.5 05.11.2006 Adware.Virtumonde Fortinet 2.76.0.0 05.11.2006 suspicious F-Prot 3.16c 05.11.2006 no virus found Ikarus 0.2.65.0 05.11.2006 no virus found Kaspersky 4.0.2.24 05.11.2006 not-a-virus:AdWare.Win32.Virtumonde.gen McAfee 4760 05.11.2006 Vundo Microsoft 1.1372 05.11.2006 no virus found NOD32v2 1.1531 05.11.2006 no virus found Norman 5.90.17 05.11.2006 no virus found Panda 9.0.0.4 05.11.2006 Suspicious file Sophos 4.05.0 05.11.2006 no virus found Symantec 8.0 05.11.2006 Trojan.Vundo TheHacker 5.9.7.141 05.10.2006 no virus found UNA 1.83 05.11.2006 no virus found VBA32 3.11.0 05.11.2006 no virus found Aditional Information File size: 688148 bytes MD5: 2a5b1bcccae14e09762a61daa58b11a1 SHA1: 672e79b035350fc8a3d4388a068eb42deb7c64dd STATUS: FINISHEDComplete scanning result of "dmxaoaaa.exe", received in VirusTotal at 05.11.2006, 19:19:34 (CET). Antivirus Version Update Result AntiVir 6.34.1.27 05.11.2006 no virus found Avast 4.6.695.0 05.11.2006 no virus found AVG 386 05.11.2006 no virus found BitDefender 7.2 05.11.2006 no virus found CAT-QuickHeal 8.00 05.11.2006 no virus found ClamAV devel-20060426 05.11.2006 no virus found DrWeb 4.33 05.11.2006 no virus found eTrust-InoculateIT 23.72.5 05.11.2006 no virus found eTrust-Vet 12.4.2205 05.11.2006 no virus found Ewido 3.5 05.11.2006 no virus found Fortinet 2.76.0.0 05.11.2006 no virus found F-Prot 3.16c 05.11.2006 no virus found Ikarus 0.2.65.0 05.11.2006 no virus found Kaspersky 4.0.2.24 05.11.2006 no virus found McAfee 4760 05.11.2006 no virus found Microsoft 1.1372 05.11.2006 no virus found NOD32v2 1.1531 05.11.2006 no virus found Norman 5.90.17 05.11.2006 no virus found Panda 9.0.0.4 05.11.2006 Suspicious file Sophos 4.05.0 05.11.2006 no virus found Symantec 8.0 05.11.2006 no virus found TheHacker 5.9.7.141 05.10.2006 no virus found UNA 1.83 05.11.2006 no virus found VBA32 3.11.0 05.11.2006 no virus found Aditional Information File size: 1038 bytes MD5: 759c623c8a5dcc9c1afe6bba91e535f4 SHA1: d3c1e0b1ce3148d07227391b0e3f839c0831fc1f STATUS: FINISHEDComplete scanning result of "gpakaaaa.exe", received in VirusTotal at 05.11.2006, 19:22:50 (CET). Antivirus Version Update Result AntiVir 6.34.1.27 05.11.2006 no virus found Avast 4.6.695.0 05.11.2006 no virus found AVG 386 05.11.2006 no virus found BitDefender 7.2 05.11.2006 no virus found CAT-QuickHeal 8.00 05.11.2006 TrojanDownloader.Murlo.dm ClamAV devel-20060426 05.11.2006 no virus found DrWeb 4.33 05.11.2006 BackDoor.Tink eTrust-InoculateIT 23.72.5 05.11.2006 Win32/Fifibe.Variant!Trojan eTrust-Vet 12.4.2205 05.11.2006 Win32/Fifibe!generic Ewido 3.5 05.11.2006 Backdoor.Tink Fortinet 2.76.0.0 05.11.2006 W32/Murlo.DM!tr.dldr F-Prot 3.16c 05.11.2006 could be infected with an unknown virus Ikarus 0.2.65.0 05.11.2006 no virus found Kaspersky 4.0.2.24 05.11.2006 Trojan-Downloader.Win32.Murlo.dm McAfee 4760 05.11.2006 no virus found Microsoft 1.1372 05.11.2006 no virus found NOD32v2 1.1531 05.11.2006 a variant of Win32/Small.BB Norman 5.90.17 05.11.2006 no virus found Panda 9.0.0.4 05.11.2006 Suspicious file Sophos 4.05.0 05.11.2006 no virus found Symantec 8.0 05.11.2006 no virus found TheHacker 5.9.7.141 05.10.2006 no virus found UNA 1.83 05.11.2006 no virus found VBA32 3.11.0 05.11.2006 no virus found Aditional Information File size: 10240 bytes MD5: f9c8d39dd196e46dbfb66369d50fb330 SHA1: 92551fc4839ad2b174e3f2dadb21134492ab1ded Packers: Aspack [/Edit] So! Aktueller stand sieht so aus, dass hjack nichts mehr findet und die winlogon.exe offensichtlich nicht mehr versucht, "nach hause zu telefonieren". Hier das neuste Log-File. Ist damit aber schon alles getan? Logfile of HijackThis v1.99.1 Scan saved at 19:40:01, on 11.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\Ati2evxx.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\Programme\TGTSoft\StyleXP\StyleXPService.exe F:\WINDOWS\system32\spoolsv.exe f:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe F:\WINDOWS\system32\CTsvcCDA.exe F:\Programme\ewido anti-malware\ewidoctrl.exe F:\Programme\ewido anti-malware\ewidoguard.exe F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe F:\Programme\NetLimiter 2 Pro\nlsvc.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\UAService7.exe F:\WINDOWS\system32\Ati2evxx.exe F:\WINDOWS\Explorer.EXE F:\Programme\NetLimiter 2 Pro\NLClient.exe F:\Programme\Java\jre1.5.0_06\bin\jusched.exe D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE F:\WINDOWS\system32\LVCOMSX.EXE D:\Programme\Logitech\Video\CameraAssistant.exe F:\WINDOWS\system32\ElkCtrl.exe F:\WINDOWS\CTHELPER.EXE F:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe F:\Programme\Ray Adams\ATI Tray Tools\atitray.exe F:\WINDOWS\system32\ctfmon.exe F:\Programme\ATI Technologies\ATI.ACE\cli.exe F:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\Programme\ICQLite\ICQLite.exe F:\Programme\Internet Explorer\iexplore.exe C:\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - F:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [SBDrvDet] F:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [AtiPTA] "F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraAssistant] D:\Programme\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [LogitechCameraService(E)] F:\WINDOWS\system32\ElkCtrl.exe /automation O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [STYLEXP] F:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [AtiTrayTools] "F:\Programme\Ray Adams\ATI Tray Tools\atitray.exe" O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104986661565 O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: ewido security suite control - ewido networks - F:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - F:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - f:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - F:\Programme\NetLimiter 2 Pro\nlsvc.exe O23 - Service: StyleXPService - Unknown owner - F:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\system32\UAService7.exe Dieser Beitrag wurde am 11.05.2006 um 19:44 Uhr von Rindy editiert.
|
|
|
||
12.05.2006, 03:33
Ehrenmitglied
Beiträge: 29434 |
#6
1.
scanne und poste den scanbericht http://virus-protect.org/artikel/tools/vundofixx.html 2. mache bitte einen Onlinescan mit Kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.05.2006, 02:33
...neu hier
Themenstarter Beiträge: 5 |
#7
Entschuldige dass ich erst jetzt schreibe, aber bei der Arbeit gehts grad wild zu und her...
Vundofixx hat nichts gefunden! Kasperksky schreibt nach einer Prüfung der "Critical Areas": The scan is complete. No malware has been detected. The sections that have been scanned are CLEAN. Report is empty. Please note: The free Kaspersky On-line Scanner does not provide comprehensive protection and cannot prevent future infections. It only detects malware that has already penetrated your storage devices. We strongly recommend that you use a fully-functional antivirus solution to protect your computer at all times. Please wait, this process may take a long time depending on the selected target. If you want to continue browsing, open a new window. Scan Progress [22%]: Total number of scanned files: 16222 Number of viruses found: 0 Number of infected objects: 0 Number of suspicious objects: 0 Duration of the scan process: 00:08:29 Sieht so aus, als sei mein Pc nun absolut Virenfrei *grins* Tja, ich denke, du konntest den Virus töten, Sabina!! DANKE VIELMALS!!! Du bist die Beste! Ich lasse noch eine vollständige Systemprüfung durchlaufen und editiere diese dann in den Beitrag rein. [Edit] So, hier die vollständige Systemprüfung: KASPERSKY ON-LINE SCANNER REPORT Sunday, May 14, 2006 9:23:30 AM Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Kaspersky On-line Scanner version: 5.0.78.0 Kaspersky Anti-Virus database last update: 14/05/2006 Kaspersky Anti-Virus database records: 193624 Scan Settings Scan using the following antivirus database extended Scan Archives true Scan Mail Bases true Scan Target My Computer A:\ C:\ D:\ E:\ F:\ G:\ H:\ Scan Statistics Total number of scanned objects 101298 Number of viruses found 7 Number of infected objects 18 Number of suspicious objects 0 Duration of the scan process 01:25:47 Infected Object Name Virus Name Last Action C:\Eigene Dateien\Games\Cyber Screensaver.exe/data0003 Infected: not-a-virus:AdWare.Win32.180Solutions skipped C:\Eigene Dateien\Games\Cyber Screensaver.exe Inno: infected - 1 skipped C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final)\getrt450.exe/WISE0087.BIN Infected: not-a-virus:AdWare.Win32.Gator.1050 skipped C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final)\getrt450.exe WiseSFX: infected - 1 skipped C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final).exe/GetRight v4.5 (Final)/getrt450.exe/WISE0087.BIN Infected: not-a-virus:AdWare.Win32.Gator.1050 skipped C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final).exe/GetRight v4.5 (Final)/getrt450.exe Infected: not-a-virus:AdWare.Win32.Gator.1050 skipped C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final).exe RAR: infected - 2 skipped C:\Eigene Dateien\Software\Proggys\Style.XP.v2.13.Working.ECLiPSE's.Keygen.for.SP2.zip/eclsxp13.exe Infected: Trojan-Dropper.Win32.Delf.fl skipped C:\Eigene Dateien\Software\Proggys\Style.XP.v2.13.+Working.ECLiPSE's.Keygen.for.SP2.zip ZIP: infected - 1 skipped F:\!KillBox\cregcowq.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped F:\!KillBox\dssoundi.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.gen skipped F:\!KillBox\gpakaaaa.exe Infected: Trojan-Downloader.Win32.Murlo.dm skipped F:\!KillBox\mdxkddiv.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped F:\!KillBox\tudoiweu.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped F:\!KillBox\wbegxwai.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped F:\!KillBox\__delete_on_reboot__hgbqeabl.dll Infected: Trojan-Proxy.Win32.Agent.jz skipped F:\!KillBox\__delete_on_reboot__qnsyjqtv.dll Infected: Trojan-Proxy.Win32.Agent.jz skipped F:\!KillBox\__delete_on_reboot__rtxpdasn.dll Infected: Trojan-Proxy.Win32.Agent.jz skipped Scan process completed. Dieser Beitrag wurde am 14.05.2006 um 09:29 Uhr von Rindy editiert.
|
|
|
||
14.05.2006, 11:09
Ehrenmitglied
Beiträge: 29434 |
#8
nun weiss du, was du noch alles manuell loeschen musst...alles was Kaspersky angezeigt hat.
und verzichte in Zukunft auf .keyg*hier nicht* und deren Seiten. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.05.2006, 20:34
...neu hier
Themenstarter Beiträge: 5 |
#9
Danke nochmals viel viel mals für die kompetente Hilfe!!
Und ja, diese zwei programme waren vielleicht blöde, sie illegal zu saugen. Aber ich kann sie hier in der Schweiz nicht kaufen, auch wenn ich es möchte.... |
|
|
||
10.07.2006, 15:12
Member
Beiträge: 67 |
#10
Hallo an alle,
Ich hab folgendes Problem... Ich hatte kürzlich ein kleines Tool aus dem Internet gesaugt... am Rechner angekomm ist der sofort verschwunden. Mir war des natülich Koscha hab dan sofort AntiVirus Programm : Kaspersky, angeschaltet. Er hat folgendes gefunden C:\WINDOWS\system32\winrzf32.dll als infiziert gemeldet sowie winlogon.exe\winrzf32.dll er kann beides nicht löschen... wenn er es versucht stürzt der PC ab. Ich habe das selbe auch im Abgesicherten Modus versucht! soll ich jetz auch des selbe machen? ^^ hätte neues thread erstellt aber der meint immer ich soll beim titel "Hilfe?" angeben... was ich auch mach... naja ich posts ma hier nei weil ich des selbe problem hab.. |
|
|
||
10.07.2006, 16:57
Ehrenmitglied
Beiträge: 29434 |
#11
Spire
schreib mir, welches Proramm du geladen hast (einen Codec? ) arbeite das ab und poste alle logs http://board.protecus.de/t23188.htm ---------------------------------------------------------- Information: http://virus-protect.org/artikel/spyware/spywarequake.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.01.2007, 14:27
...neu hier
Beiträge: 9 |
#12
Ich habe über Google eurer Forum gefunden und hoffe dass ihr mit weiterhelfen könnt.
Sehr geehrte Damen und Herren ! Seit 3 Tagen beschäfltigt mich das Problem, dass mein Internetstatus anzeigt, dass permanent Daten von meinen PC gesendet und empfangen werden. ca. 1 MB pro Sekunde ohne aktiv im Internet zu sein. Da ich nur 1 GB Voluamen im Monat habe, schnellen meine Kosten in die Höhe. Ich vermute Trojaner oder Backdoor. Meine AntiVirus Programm zeigt infizierte Datei winlogon.exe (TR/Patched.I) in System32. Hab versucht Dateien im abgesicherten Modus zu löschen, doch bei Neustart waren sie wieder da. Auch durch Antivir lassen sie nicht löschen. Leider hab ich auch keine saubere Version von winlogon.exe im dllcache ! Zusätzlich zeigt mein Taskmanager an, dass Winword.exe 99% CPU Auslastung verursacht. Hab aber dass Programm gar nicht geöffnet !! Bestehen das Zusammenhänge ? Kann mir das bitte jemand Rat geben. Liebe Grüße Gerhard |
|
|
||
07.01.2007, 14:33
Ehrenmitglied
Beiträge: 29434 |
#13
Dottore
arbeite das ab und poste alle logs http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.01.2007, 15:23
...neu hier
Beiträge: 9 |
#14
Logfile of HijackThis v1.99.1
Scan saved at 14:31:57, on 06.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\systems_.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Windows NT\Zubehör\wordpad.exe C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini" O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Mag Gerhard Peterlin - 07-01-05 21:23:45,29 Service Pack 2 ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\Downloads" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\Install.dat C:\secure32.html C:\WINDOWS\system32\ixt1.dll C:\Programme\Safety Bar C:\WINDOWS\system32\components ((((((((((((((((((((((((((((((( Files Created from 2006-12-05 to 2007-01-05 )))))))))))))))))))))))))))))))))) 2007-01-05 21:14 <DIR> d-------- C:\Datfind 2007-01-05 18:21 36,864 --a------ C:\WINDOWS\system32\main.sys 2007-01-04 13:11 <DIR> d-------- C:\WINDOWS\temp 2007-01-04 13:11 <DIR> d-------- C:\WINDOWS\Content.IE5 2007-01-04 09:20 <DIR> d--h----- C:\WINDOWS\PIF 2007-01-04 09:07 <DIR> d-------- C:\Programme\M9207 2007-01-04 08:50 <DIR> d-------- C:\Config.Msi 2007-01-03 19:55 <DIR> d-------- C:\WINDOWS\system32\ActiveScan 2007-01-03 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft 2007-01-02 08:05 31,744 --a------ C:\WINDOWS\system32\wsys(2)(3).dll 2006-12-20 14:16 <DIR> d-------- C:\Archos Backup 2006-12-14 12:10 15,360 --a------ C:\WINDOWS\system32\drivers\MPE.sys 2006-12-14 12:09 363,520 --a------ C:\WINDOWS\system32\PsisDecd.dll 2006-12-14 12:09 11,776 --a------ C:\WINDOWS\system32\drivers\BdaSup.sys 2006-12-14 12:08 40,960 --------- C:\WINDOWS\system32\unM9205.exe 2006-12-14 12:08 35,587 --------- C:\WINDOWS\system32\rm9206.exe 2006-12-14 12:08 34,272 --a------ C:\WINDOWS\system32\drivers\M9207BDA.sys 2006-12-14 12:08 21,201 --------- C:\WINDOWS\system32\rm9205.exe 2006-12-14 12:07 151,552 --a------ C:\WINDOWS\system32\MPEG2VideoDMO.dll 2006-12-14 12:07 <DIR> d-------- C:\Programme\MMEDIA 2006-12-09 18:19 <DIR> d-------- C:\Programme\Boilsoft ASF Converter 2006-12-09 15:31 <DIR> d-------- C:\Programme\XviD 2006-12-09 13:56 <DIR> d-------- C:\Programme\Archos MP4SP (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-05 20:03 25024 --a------ C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\wklnhst.dat 2007-01-04 19:26 -------- d-------- C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\AdobeUM 2007-01-03 20:54 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2007-01-02 08:05 507392 --------- C:\WINDOWS\system32\winlogon.exe 2006-12-30 21:52 -------- d-------- C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\Canon 2006-12-14 12:08 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-12-09 16:31 -------- d---s---- C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\Microsoft 2006-11-07 00:05 -------- d-------- C:\Programme\Google (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "OpwareSE2"="\"C:\\Programme\\ScanSoft\\OmniPageSE2.0\\OpwareSE2.exe\"" "OPSE reminder"="\"C:\\Programme\\ScanSoft\\OmniPageSE2.0\\EregGer\\Ereg.exe\" -r \"C:\\Programme\\ScanSoft\\OmniPageSE2.0\\EregGer\\ereg.ini\"" "SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon" "FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe" "SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "SoundMan"="SOUNDMAN.EXE" "UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\ 6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00 "MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "AVGCtrl"="C:\\Programme\\AVPersonal\\AVGNT.EXE /min" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="C:\\WINDOWS\\warnhp.html" "SubscribedURL"="" "FriendlyName"="Desktop Uninstall" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,e2,02,00,00,00,\ 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:02,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,02,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{168cf174-6dab-461c-a761-a7adfa5a5719}"="campy" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "NoColorChoice"=dword:00000000 "NoSizeChoice"=dword:00000000 "NoDispScrSavPage"=dword:00000000 "NoDispCPL"=dword:00000000 "NoVisualStyleChoice"=dword:00000000 "NoDispSettingsPage"=dword:00000000 "NoDispAppearancePage"=dword:00000000 "NoDispBackgroundPage"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:0000005f "NoActiveDesktop"=dword:00000000 "NoSaveSettings"=dword:00000000 "ClassicShell"=dword:00000000 "NoThemesTab"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 "DisableTaskMgr"=dword:00000000 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AdobeUpdateManager" "hkey"="HKCU" "command"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="YahooMessenger" "hkey"="HKCU" "command"="\"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe\" -quiet" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "AntiVirService"=dword:00000002 "AntiVirScheduler"=dword:00000002 [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" Completion time: 07-01-05 21:26:33.82 C:\ComboFix.txt ... 07-01-05 21:26 Datentr„ger in Laufwerk C: ist 442457 Volumeseriennummer: E047-59D0 Verzeichnis von C:\ 05.01.2007 21:18 0 sys.txt 05.01.2007 21:17 598 down.txt 05.01.2007 21:17 426 tmp.txt 05.01.2007 21:16 12.164 system.txt 05.01.2007 21:15 479 systemtemp.txt 05.01.2007 21:14 96.963 system32.txt 05.01.2007 21:10 805.306.368 pagefile.sys 04.01.2007 19:35 211 boot.ini 04.01.2007 13:11 998 smitfiles.txt 28.09.2006 12:38 1.152 5vwja6hw.sys 24.08.2006 07:41 3.061 secure32.html 24.08.2006 07:39 0 uniq 05.05.2006 15:59 146 YServer.txt 30.12.2005 18:35 27 expand.txt 14.12.2005 18:49 251.712 ntldr 14.12.2005 18:32 0 CONFIG.SYS 14.12.2005 18:32 0 MSDOS.SYS 14.12.2005 18:32 0 AUTOEXEC.BAT 14.12.2005 18:32 0 IO.SYS 14.12.2005 11:59 15.181 Prodlog.txt 14.12.2005 11:59 788 868000442457.dat 11.10.2004 06:18 19 LANG.TXT 04.08.2004 13:00 2 oem.tag 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 13.03.2002 13:16 11 Language.txt 26 Datei(en) 805.742.822 Bytes 0 Verzeichnis(se), 159.377.920.000 Bytes frei Datentr„ger in Laufwerk C: ist 442457 Volumeseriennummer: E047-59D0 Verzeichnis von C:\WINDOWS 05.01.2007 21:16 399.433 WindowsUpdate.log 05.01.2007 21:10 0 0.log 05.01.2007 21:10 159 wiadebug.log 05.01.2007 21:10 50 wiaservc.log 05.01.2007 21:10 2.048 bootstat.dat 05.01.2007 21:09 32.642 SchedLgU.Txt 04.01.2007 19:35 781 win.ini 04.01.2007 19:35 227 system.ini 04.01.2007 15:22 521.366 setupact.log 04.01.2007 15:22 438.677 setupapi.log 04.01.2007 15:22 0 setuperr.log 27.12.2006 17:35 116 NeroDigital.ini 21.12.2006 17:48 65.782 wmsetup.log 09.11.2006 14:56 754 WORDPAD.INI 08.11.2006 21:09 43 gswin32.ini 18.09.2006 09:09 400 ODBC.INI 18.09.2006 09:09 3.291 OEWABLog.txt 30.08.2006 22:50 244 IE4 Error Log.txt 28.08.2006 08:55 328 ulead32.ini 26.08.2006 11:46 5.816 COM+.log 26.08.2006 11:16 279.510 comsetup.log 26.08.2006 11:09 100.775 iis6.log 26.08.2006 11:09 273.461 tsoc.log 26.08.2006 11:09 157.120 ntdtcsetup.log 26.08.2006 11:09 36.915 ocmsn.log 26.08.2006 11:09 4.382 imsins.log Datentr„ger in Laufwerk C: ist 442457 Volumeseriennummer: E047-59D0 Verzeichnis von C:\WINDOWS\system32 05.01.2007 21:10 29.204 nvapps.xml 05.01.2007 18:21 36.864 main.sys 04.01.2007 17:23 1.158 wpa.dbl 04.01.2007 12:36 2.550 Uninstall.ico 04.01.2007 12:36 1.406 Help.ico 04.01.2007 12:36 30.590 pavas.ico 04.01.2007 11:24 552 d3d8caps.dat 02.01.2007 11:08 31.744 wsys(2)(3).dll 02.01.2007 08:05 507.392 winlogon.exe 01.11.2006 08:43 398.112 perfh009.dat 01.11.2006 08:43 61.088 perfc009.dat 01.11.2006 08:43 412.296 perfh007.dat 01.11.2006 08:43 73.562 perfc007.dat 01.11.2006 08:43 956.630 PerfStringBackup.INI 11.09.2006 17:21 18.432 ixt1.dll 26.08.2006 11:09 181.832 FNTCACHE.DAT 26.08.2006 11:09 264 $winnt$.inf 26.08.2006 11:05 23.392 nscompat.tlb 26.08.2006 11:05 16.832 amcompat.tlb 26.08.2006 11:04 488 logonui.exe.manifest 26.08.2006 11:04 488 WindowsLogon.manifest 26.08.2006 11:04 749 wuaucpl.cpl.manifest 26.08.2006 11:04 749 cdplayer.exe.manifest 26.08.2006 11:04 749 sapi.cpl.manifest 26.08.2006 11:04 749 ncpa.cpl.manifest 26.08.2006 11:04 749 nwc.cpl.manifest 26.08.2006 11:03 22.976 emptyregdb.dat 26.08.2006 11:02 525 mapisvc.inf 24.08.2006 07:42 0 winrknj 09.08.2006 20:03 8.325.544 MRT.exe 23.06.2006 10:09 104.960 xpsp3res.dll 02.06.2006 10:04 57.384 avsda.dll 08.05.2006 09:30 3.157 jupdate-1.4.2_03-b02.log 03.04.2006 10:59 128 xposer.cfg 03.04.2006 10:59 128 asinst.cfg 17.03.2006 01:38 28.672 verclsid.exe 01.03.2006 14:40 151.552 MPEG2VideoDMO.dll 14.02.2006 09:32 40.960 unM9205.exe 14.02.2006 09:32 35.587 rm9206.exe 14.02.2006 09:32 21.201 rm9205.exe Datentr„ger in Laufwerk C: ist 442457 Volumeseriennummer: E047-59D0 Verzeichnis von C:\DOKUME~1\MAGGER~1\LOKALE~1\Temp 05.01.2007 21:10 3.544 jusched.log 05.01.2007 21:10 16.384 ~DFE1C9.tmp 04.01.2007 16:59 157 dw.log 04.01.2007 16:03 2 Twain001.Mtx 04.01.2007 16:03 0 TWAIN.LOG 5 Datei(en) 20.087 Bytes 0 Verzeichnis(se), 159.377.883.136 Bytes frei Datentr„ger in Laufwerk C: ist 442457 Volumeseriennummer: E047-59D0 Verzeichnis von C:\WINDOWS\temp 05.01.2007 18:21 169 gkjnr_nt.conf 05.01.2007 08:42 57.344 2200671.exe 04.01.2007 19:40 57.344 258843.exe 04.01.2007 15:18 0 T30DebugLogFile.txt 4 Datei(en) 114.857 Bytes 0 Verzeichnis(se), 159.377.924.096 Bytes frei Datentr„ger in Laufwerk C: ist 442457 Volumeseriennummer: E047-59D0 Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.11.2006 14:36 5.019 swflash.inf 26.08.2006 11:04 65 desktop.ini 24.08.2006 08:28 141.424 asinst.dll 22.08.2006 09:06 537 asinst.inf 03.05.2006 20:44 318 WebCleaner.inf 03.05.2006 20:27 4.434.336 WebCleaner.dll 19.11.2003 23:22 740 jinstall-1_4_2_03.inf 7 Datei(en) 4.582.439 Bytes 0 Verzeichnis(se), 159.377.924.096 Bytes frei B e g i n n e m i t d e r S u c h e i n ' C : \ ' < 4 4 2 4 5 7 > \ \ ? \ \ \ ? \ 5 v w j a 6 h w . s y s [ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n ! \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ C O N F I G . S Y S [ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n ! \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ I O . S Y S [ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n ! \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ M S D O S . S Y S [ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n ! \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ p a g e f i l e . s y s [ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n ! E n d e d e s S u c h l a u f s : S a m s t a g , 0 6 . J ä n n e r 2 0 0 7 1 4 : 3 5 B e n ö t i g t e Z e i t : 0 0 : 0 4 m i n D e r S u c h l a u f w u r d e v o l l s t ä n d i g d u r c h g e f ü h r t . 1 V e r z e i c h n i s s e w u r d e n ü b e r p r ü f t 8 6 D a t e i e n w u r d e n g e p r ü f t 2 V i r e n b z w . u n e r w ü n s c h t e P r o g r a m m e w u r d e n g e f u n d e n 0 D a t e i e n w u r d e n g e l ö s c h t 0 V i r e n b z w . u n e r w ü n s c h t e P r o g r a m m e w u r d e n r e p a r i e r t 0 D a t e i e n w u r d e n i n d i e Q u a r a n t ä n e v e r s c h o b e n 0 D a t e i e n w u r d e n u m b e n a n n t 5 D a t e i e n k o n n t e n n i c h t d u r c h s u c h t w e r d e n 8 4 D a t e i e n o h n e B e f a l l 0 A r c h i v e w u r d e n d u r c h s u c h t 5 W a r n u n g e n 0 H i n w e i s e Dieser Beitrag wurde am 07.01.2007 um 15:45 Uhr von Dottore editiert.
|
|
|
||
07.01.2007, 17:16
Ehrenmitglied
Beiträge: 29434 |
#15
Dottore
______________________________________________________ 0. Start > Ausfuehren --> reinschreiben --> cmd und ok. kopiere rein dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt und poste alles, was im Texteditor erscheint 1. virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\5vwja6hw.sys C:\WINDOWS\system32\main.sys C:\WINDOWS\system32\rm9205.exe C:\WINDOWS\system32\unM9205.exe C:\WINDOWS\temp\2200671.exe C:\WINDOWS\temp\258843.exe C:\WINDOWS\system32\wsys(2)(3).dll C:\WINDOWS\system32\winlogon.exe poste hier die reporte ________________________________________________________________ 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html poste hier die scanreporte vom scan _ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich bin durch Googeln wegen meinem Problem auf euch gestossen. ICh wäre euch wirklich wirklich dankbar, wenn ihr euch mein HijackThis Log einmal durchsehen könntet und mir vielleicht ein paar Tipps geben könntet. Danke im Vorraus!
Zu meinem Problem:
Letzte Woche hat sich auf einen Schlag meine Internetverbindung extrem verlangsamt, nachdem sich ungewollterweise eine Seite im Internet Explorer geöffnet hat. Ich habe das per Firewall überprüft und gesehen, dass die winlogon.exe plötzlich Verbindungen zu allerlei IP's in Russland aufbaut... tja, ich habe das per NetLimiter mal unterbunden, meine Internetverbindung läuft wieder normal schnell. Trotzdem ist die winlogon.exe noch immer infiziert und neuerdings meldet mir der Evido Antivirenscanner Datein wie: dssoundi.dll im System32.
Ich habe noch nicht versucht, eine dieser Dateien zu löschen, ich will nichts kaputt machen.
Achja, ich habe in eurem Forum gesucht und gesehen, dass es schon einmal einen User mit einem ähnlichen Problem gab. Bin mir aber nicht sicher, deshalb poste ich neu.
Hier das HijackThis-Log, gerade eben im abgesicherten Modus gemacht:
Logfile of HijackThis v1.99.1
Scan saved at 13:45:14, on 11.5.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CIEPl Object - {83B14523-CBC9-447B-8B1E-2482DB2ABE73} - F:\WINDOWS\system32\dssoundi.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - F:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] F:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [AtiPTA] "F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] D:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] F:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104986661565
O20 - Winlogon Notify: dssoundi - F:\WINDOWS\SYSTEM32\dssoundi.dll
O20 - Winlogon Notify: hgbqeabl - hgbqeabl.dll (file missing)
O20 - Winlogon Notify: qnsyjqtv - qnsyjqtv.dll (file missing)
O20 - Winlogon Notify: rtxpdasn - rtxpdasn.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - F:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - f:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - F:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: StyleXPService - Unknown owner - F:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\system32\UAService7.exe