Grüss euch! winlogon.exe infiziert? hijackthis-log vorhanden

#1 Hallo alle zusammen!
Ich bin durch Googeln wegen meinem Problem auf euch gestossen. ICh wäre euch wirklich wirklich dankbar, wenn ihr euch mein HijackThis Log einmal durchsehen könntet und mir vielleicht ein paar Tipps geben könntet. Danke im Vorraus!

Zu meinem Problem:
Letzte Woche hat sich auf einen Schlag meine Internetverbindung extrem verlangsamt, nachdem sich ungewollterweise eine Seite im Internet Explorer geöffnet hat. Ich habe das per Firewall überprüft und gesehen, dass die winlogon.exe plötzlich Verbindungen zu allerlei IP's in Russland aufbaut... tja, ich habe das per NetLimiter mal unterbunden, meine Internetverbindung läuft wieder normal schnell. Trotzdem ist die winlogon.exe noch immer infiziert und neuerdings meldet mir der Evido Antivirenscanner Datein wie: dssoundi.dll im System32.
Ich habe noch nicht versucht, eine dieser Dateien zu löschen, ich will nichts kaputt machen.

Achja, ich habe in eurem Forum gesucht und gesehen, dass es schon einmal einen User mit einem ähnlichen Problem gab. Bin mir aber nicht sicher, deshalb poste ich neu.

Hier das HijackThis-Log, gerade eben im abgesicherten Modus gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 13:45:14, on 11.5.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CIEPl Object - {83B14523-CBC9-447B-8B1E-2482DB2ABE73} - F:\WINDOWS\system32\dssoundi.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - F:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] F:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [AtiPTA] "F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] D:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] F:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104986661565
O20 - Winlogon Notify: dssoundi - F:\WINDOWS\SYSTEM32\dssoundi.dll
O20 - Winlogon Notify: hgbqeabl - hgbqeabl.dll (file missing)
O20 - Winlogon Notify: qnsyjqtv - qnsyjqtv.dll (file missing)
O20 - Winlogon Notify: rtxpdasn - rtxpdasn.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - F:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - f:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - F:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: StyleXPService - Unknown owner - F:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\system32\UAService7.exe

#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
RootkitRevealer poste das Log
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Sodele, hier erst einmal die datfind.bat:

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 1C4C-B577

Verzeichnis von F:\WINDOWS\system32

11.05.2006 15:01 19'043 ospcont.dat
11.05.2006 13:39 1'080 settings.sfm
11.05.2006 13:39 1'080 settingsbkup.sfm
11.05.2006 13:39 11'564 DVCState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
11.05.2006 13:39 32'592 BMXStateBkp-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
11.05.2006 13:39 32'088 BMXBkpCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
11.05.2006 13:39 32'088 BMXCtrlState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
11.05.2006 13:39 32'592 BMXState-{00000000-00000000-00000009-00001102-00000004-20021102}.rfx
02.05.2006 17:15 2'278 wpa.dbl
29.04.2006 01:35 4'212 zllictbl.dat
28.04.2006 23:34 122'900 tudoiweu.dll
28.04.2006 21:15 167'956 __delete_on_reboot__qnsyjqtv.dll
28.04.2006 21:09 122'900 mdxkddiv.dll
28.04.2006 18:45 122'900 cregcowq.dll
28.04.2006 18:45 167'956 __delete_on_reboot__rtxpdasn.dll
27.04.2006 16:06 143 flvmc.tmp
26.04.2006 23:21 100 LuResult.txt
26.04.2006 21:00 15'271 xcbfhlja.dll
26.04.2006 21:00 2'640 dcnxpfba.dll
26.04.2006 19:27 0 filter.drv
26.04.2006 18:21 122'900 wbegxwai.dll
26.04.2006 18:21 167'956 __delete_on_reboot__hgbqeabl.dll
26.04.2006 18:21 688'148 dssoundi.dll
26.04.2006 18:20 1'038 dmxaoaaa.exe
26.04.2006 18:20 10'240 gpakaaaa.exe
28.03.2006 01:21 1'100 d3d8caps.dat
25.03.2006 22:06 26'286 lvcoinst.log
22.02.2006 05:46 256'512 ati2dvag.dll
22.02.2006 05:41 114'688 atipdlxx.dll
22.02.2006 05:40 77'824 Oemdspif.dll
22.02.2006 05:40 26'112 Ati2mdxx.exe
22.02.2006 05:40 40'960 ati2edxx.dll
22.02.2006 05:40 61'440 ati2evxx.dll
22.02.2006 05:39 405'504 ati2evxx.exe
22.02.2006 05:38 53'248 ATIDDC.DLL
22.02.2006 05:30 2'636'672 ati3duag.dll
22.02.2006 05:27 6'684'672 atioglx1.dll
22.02.2006 05:24 860'480 ativvaxx.dll
22.02.2006 05:20 307'200 atiiiexx.dll
22.02.2006 05:11 5'124'096 atioglxx.dll
22.02.2006 05:11 151'552 atikvmag.dll
22.02.2006 05:10 17'408 atitvo32.dll
22.02.2006 05:04 258'048 ati2cqag.dll
22.02.2006 04:21 282'624 ATIDEMGR.dll
21.02.2006 21:05 520'192 ati2sgag.exe
15.02.2006 20:49 7'006 jupdate-1.5.0_06-b05.log
13.02.2006 22:29 121'995 atiicdxx.dat
03.02.2006 02:27 98'304 CmdLineExt.dll
24.01.2006 19:34 118'784 sirenacm.dll

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 1C4C-B577

Verzeichnis von F:\DOKUME~1\Me\LOKALE~1\Temp

11.05.2006 15:00 16'384 Perflib_Perfdata_950.dat
11.05.2006 15:00 16'384 Perflib_Perfdata_d34.dat
11.05.2006 15:00 16'384 Perflib_Perfdata_c34.dat
11.05.2006 15:00 773 LVCOMSX.LOG
11.05.2006 14:26 16'384 ~DFC19F.tmp
5 Datei(en) 66'309 Bytes
0 Verzeichnis(se), 2'478'682'112 Bytes frei

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 1C4C-B577

Verzeichnis von F:\WINDOWS

11.05.2006 15:00 4'958'588 {00000000-00000000-00000009-00001102-00000004-20021102}.CDF
11.05.2006 14:59 4'958'588 {00000000-00000000-00000009-00001102-00000004-20021102}.BAK
11.05.2006 13:48 0 0.log
11.05.2006 13:48 159 wiadebug.log
11.05.2006 13:48 50 wiaservc.log
11.05.2006 13:48 2'048 bootstat.dat
11.05.2006 13:47 2'085'317 WindowsUpdate.log
11.05.2006 13:47 227 system.ini
11.05.2006 13:47 620 win.ini
11.05.2006 13:38 32'090 SchedLgU.Txt
11.05.2006 12:47 365'365 wmsetup.log
11.05.2006 12:47 116 NeroDigital.ini
11.05.2006 00:15 1'073'041'408 MEMORY.DMP
09.05.2006 00:26 956'056 setupapi.log
03.05.2006 23:56 84'542 setupact.log
29.04.2006 19:59 54'156 QTFont.qfn
29.04.2006 16:39 1'270 fsdgunst.log
29.04.2006 16:39 3'004 fsmaunin.log
29.04.2006 16:38 458 FSGUIINS.LOG
29.04.2006 16:38 590 HELPINST.LOG
29.04.2006 16:38 557 daasunin.LOG
29.04.2006 16:38 492 fstnbins.LOG
29.04.2006 16:38 43'755 fsavunin.log
29.04.2006 16:38 1'952 FSASWUNI.LOG
29.04.2006 16:38 25'693 FSASWSIN.log
29.04.2006 16:38 4'216 FSPCUNIN.LOG
29.04.2006 16:38 22'301 fwesinst.log
29.04.2006 16:36 13'958 fwinst.log
29.04.2006 16:36 7'781 fsbwinst.log
29.04.2006 15:44 3'566 fsiuupd.log
29.04.2006 15:36 5'782'345 FSISU.log
29.04.2006 15:36 2'962'618 FSSFM.log
29.04.2006 15:36 264'664 RunSetup.log
29.04.2006 15:36 156'707 FSPROD.log
29.04.2006 15:36 1'003'828 FSSETUP.log
29.04.2006 15:36 17'062 fsmainst.log
29.04.2006 15:36 5'206 FSSYSUPD.LOG
29.04.2006 15:36 20'217 FSPCINST.LOG
29.04.2006 15:36 4'190 NEWSINST.LOG
29.04.2006 15:36 7'966 FSAVCSIN.LOG
29.04.2006 15:36 13'542 FSASWINS.LOG
29.04.2006 15:36 2'022 fsdginst.log
29.04.2006 15:36 10'992 fsrif.log
29.04.2006 15:36 32'879 FSAVINST.LOG
29.04.2006 15:36 2'175 DAASINST.LOG
29.04.2006 15:36 12'496 FSSGSUP.LOG
29.04.2006 15:36 108'064 FSDEPH.log
29.04.2006 15:35 437'044 fssgpex.LOG
29.04.2006 15:34 2'432 FSPRODRM.LOG
29.04.2006 15:33 2'173 Q-Klez.log
29.04.2006 11:48 550 KB893803v2Uninst.log
27.04.2006 23:12 23 BlendSettings.ini
27.04.2006 17:23 99'970 UninstallFirefox.exe
27.04.2006 17:23 9'489 mozver.dat
26.04.2006 23:40 14'204 LUINSTALL.LOG
26.04.2006 23:20 1'056 MININU.LOG
12.04.2006 22:05 1'409 QTFont.for
08.04.2006 03:17 748 unins000.dat
08.04.2006 03:17 675'756 unins000.exe
27.03.2006 22:11 402'652 DirectX.log
14.03.2006 11:45 500 GEARInstall.log
28.02.2006 23:28 1'125 winamp.ini
27.01.2006 13:04 748 ODBC.INI

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 1C4C-B577

Verzeichnis von F:\

11.05.2006 15:04 0 sys.txt
11.05.2006 15:04 12'627 system.txt
11.05.2006 15:03 524 systemtemp.txt
11.05.2006 15:02 108'948 system32.txt
11.05.2006 13:48 2'147'483'648 pagefile.sys
03.05.2006 23:55 3'113 smitfiles.txt
24.05.2005 18:43 36 klextlock.dat
7 Datei(en) 2'147'608'896 Bytes
0 Verzeichnis(se), 2'478'682'112 Bytes frei




Das RootkitReveallog reiche ich gleich nach

[/edit]
Rootkitrevealer sagt mir:
Scan Complete: no discrenpancies found

Ebenso ist die .txt Daetei leer

Danke vielmals für die schnelle Hilfe, aber ich glaube, das Thema ist noch nicht vom Tisch, was?

#4 Rindy

1.
ich will wissen was es ist und welche virenscanner es erkennen:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

F:\WINDOWS\system32\dssoundi.dll
F:\WINDOWS\system32\dmxaoaaa.exe
F:\WINDOWS\system32\gpakaaaa.exe

Ergebnis hier bitte posten

--------------------------------------------------------------
2.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

F:\WINDOWS\system32\ospcont.dat
F:\WINDOWS\system32\tudoiweu.dll
F:\WINDOWS\system32\__delete_on_reboot__qnsyjqtv.dll
F:\WINDOWS\system32\mdxkddiv.dll
F:\WINDOWS\system32\cregcowq.dll
F:\WINDOWS\system32\__delete_on_reboot__rtxpdasn.dll
F:\WINDOWS\system32\flvmc.tmp
F:\WINDOWS\system32\LuResult.txt
F:\WINDOWS\system32\xcbfhlja.dll
F:\WINDOWS\system32\dcnxpfba.dll
F:\WINDOWS\system32\filter.drv
F:\WINDOWS\system32\wbegxwai.dll
F:\WINDOWS\system32\__delete_on_reboot__hgbqeabl.dll
F:\WINDOWS\system32\dssoundi.dll
F:\WINDOWS\system32\dmxaoaaa.exe
F:\WINDOWS\system32\gpakaaaa.exe

PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: CIEPl Object - {83B14523-CBC9-447B-8B1E-2482DB2ABE73} - F:\WINDOWS\system32\dssoundi.dll
O20 - Winlogon Notify: dssoundi - F:\WINDOWS\SYSTEM32\dssoundi.dll
O20 - Winlogon Notify: hgbqeabl - hgbqeabl.dll (file missing)
O20 - Winlogon Notify: qnsyjqtv - qnsyjqtv.dll (file missing)
O20 - Winlogon Notify: rtxpdasn - rtxpdasn.dll (file missing)

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Also, erst mal die Virustotalergebnisse:

STATUS: FINISHEDComplete scanning result of "dssoundi.dll", received in VirusTotal at 05.11.2006, 19:17:11 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 no virus found
Avast 4.6.695.0 05.11.2006 no virus found
AVG 386 05.11.2006 no virus found
BitDefender 7.2 05.11.2006 Backdoor.Agent.GR
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.11.2006 Trojan.Virtumod
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 Win32/Vundo
Ewido 3.5 05.11.2006 Adware.Virtumonde
Fortinet 2.76.0.0 05.11.2006 suspicious
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.11.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 not-a-virus:AdWare.Win32.Virtumonde.gen
McAfee 4760 05.11.2006 Vundo
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 no virus found
Norman 5.90.17 05.11.2006 no virus found
Panda 9.0.0.4 05.11.2006 Suspicious file
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 Trojan.Vundo
TheHacker 5.9.7.141 05.10.2006 no virus found
UNA 1.83 05.11.2006 no virus found
VBA32 3.11.0 05.11.2006 no virus found


Aditional Information
File size: 688148 bytes
MD5: 2a5b1bcccae14e09762a61daa58b11a1
SHA1: 672e79b035350fc8a3d4388a068eb42deb7c64dd


STATUS: FINISHEDComplete scanning result of "dmxaoaaa.exe", received in VirusTotal at 05.11.2006, 19:19:34 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 no virus found
Avast 4.6.695.0 05.11.2006 no virus found
AVG 386 05.11.2006 no virus found
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 no virus found
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.11.2006 no virus found
eTrust-InoculateIT 23.72.5 05.11.2006 no virus found
eTrust-Vet 12.4.2205 05.11.2006 no virus found
Ewido 3.5 05.11.2006 no virus found
Fortinet 2.76.0.0 05.11.2006 no virus found
F-Prot 3.16c 05.11.2006 no virus found
Ikarus 0.2.65.0 05.11.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 no virus found
McAfee 4760 05.11.2006 no virus found
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 no virus found
Norman 5.90.17 05.11.2006 no virus found
Panda 9.0.0.4 05.11.2006 Suspicious file
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 no virus found
UNA 1.83 05.11.2006 no virus found
VBA32 3.11.0 05.11.2006 no virus found


Aditional Information
File size: 1038 bytes
MD5: 759c623c8a5dcc9c1afe6bba91e535f4
SHA1: d3c1e0b1ce3148d07227391b0e3f839c0831fc1f


STATUS: FINISHEDComplete scanning result of "gpakaaaa.exe", received in VirusTotal at 05.11.2006, 19:22:50 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.11.2006 no virus found
Avast 4.6.695.0 05.11.2006 no virus found
AVG 386 05.11.2006 no virus found
BitDefender 7.2 05.11.2006 no virus found
CAT-QuickHeal 8.00 05.11.2006 TrojanDownloader.Murlo.dm
ClamAV devel-20060426 05.11.2006 no virus found
DrWeb 4.33 05.11.2006 BackDoor.Tink
eTrust-InoculateIT 23.72.5 05.11.2006 Win32/Fifibe.Variant!Trojan
eTrust-Vet 12.4.2205 05.11.2006 Win32/Fifibe!generic
Ewido 3.5 05.11.2006 Backdoor.Tink
Fortinet 2.76.0.0 05.11.2006 W32/Murlo.DM!tr.dldr
F-Prot 3.16c 05.11.2006 could be infected with an unknown virus
Ikarus 0.2.65.0 05.11.2006 no virus found
Kaspersky 4.0.2.24 05.11.2006 Trojan-Downloader.Win32.Murlo.dm
McAfee 4760 05.11.2006 no virus found
Microsoft 1.1372 05.11.2006 no virus found
NOD32v2 1.1531 05.11.2006 a variant of Win32/Small.BB
Norman 5.90.17 05.11.2006 no virus found
Panda 9.0.0.4 05.11.2006 Suspicious file
Sophos 4.05.0 05.11.2006 no virus found
Symantec 8.0 05.11.2006 no virus found
TheHacker 5.9.7.141 05.10.2006 no virus found
UNA 1.83 05.11.2006 no virus found
VBA32 3.11.0 05.11.2006 no virus found


Aditional Information
File size: 10240 bytes
MD5: f9c8d39dd196e46dbfb66369d50fb330
SHA1: 92551fc4839ad2b174e3f2dadb21134492ab1ded
Packers: Aspack


[/Edit]

So! Aktueller stand sieht so aus, dass hjack nichts mehr findet und die winlogon.exe offensichtlich nicht mehr versucht, "nach hause zu telefonieren".
Hier das neuste Log-File.
Ist damit aber schon alles getan?

Logfile of HijackThis v1.99.1
Scan saved at 19:40:01, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\TGTSoft\StyleXP\StyleXPService.exe
F:\WINDOWS\system32\spoolsv.exe
f:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
F:\WINDOWS\system32\CTsvcCDA.exe
F:\Programme\ewido anti-malware\ewidoctrl.exe
F:\Programme\ewido anti-malware\ewidoguard.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\Programme\NetLimiter 2 Pro\nlsvc.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\UAService7.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\NetLimiter 2 Pro\NLClient.exe
F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
F:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\Logitech\Video\CameraAssistant.exe
F:\WINDOWS\system32\ElkCtrl.exe
F:\WINDOWS\CTHELPER.EXE
F:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
F:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\ATI Technologies\ATI.ACE\cli.exe
F:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\Programme\ICQLite\ICQLite.exe
F:\Programme\Internet Explorer\iexplore.exe
C:\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - F:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] F:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [AtiPTA] "F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechCameraAssistant] D:\Programme\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechCameraService(E)] F:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [STYLEXP] F:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [AtiTrayTools] "F:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: E&xport to Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104986661565
O23 - Service: Adobe LM Service - Adobe Systems - F:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - F:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - F:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - F:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - f:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - F:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: StyleXPService - Unknown owner - F:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - F:\WINDOWS\system32\UAService7.exe

#6 1.
scanne und poste den scanbericht
http://virus-protect.org/artikel/tools/vundofixx.html

2.
mache bitte einen Onlinescan mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Entschuldige dass ich erst jetzt schreibe, aber bei der Arbeit gehts grad wild zu und her...
Vundofixx hat nichts gefunden!

Kasperksky schreibt nach einer Prüfung der "Critical Areas":
The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN.
Report is empty.
Please note: The free Kaspersky On-line Scanner does not provide comprehensive protection and cannot prevent future infections. It only detects malware that has already penetrated your storage devices. We strongly recommend that you use a fully-functional antivirus solution to protect your computer at all times.

Please wait, this process may take a long time depending on the selected target. If you want to continue browsing, open a new window.

Scan Progress [22%]:
Total number of scanned files: 16222
Number of viruses found: 0
Number of infected objects: 0
Number of suspicious objects: 0
Duration of the scan process: 00:08:29

Sieht so aus, als sei mein Pc nun absolut Virenfrei *grins*
Tja, ich denke, du konntest den Virus töten, Sabina!!
DANKE VIELMALS!!! Du bist die Beste!
Ich lasse noch eine vollständige Systemprüfung durchlaufen und editiere diese dann in den Beitrag rein.

[Edit] So, hier die vollständige Systemprüfung:

KASPERSKY ON-LINE SCANNER REPORT
Sunday, May 14, 2006 9:23:30 AM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.78.0
Kaspersky Anti-Virus database last update: 14/05/2006
Kaspersky Anti-Virus database records: 193624


Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true

Scan Target My Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics
Total number of scanned objects 101298
Number of viruses found 7
Number of infected objects 18
Number of suspicious objects 0
Duration of the scan process 01:25:47

Infected Object Name Virus Name Last Action
C:\Eigene Dateien\Games\Cyber Screensaver.exe/data0003 Infected: not-a-virus:AdWare.Win32.180Solutions skipped

C:\Eigene Dateien\Games\Cyber Screensaver.exe Inno: infected - 1 skipped

C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final)\getrt450.exe/WISE0087.BIN Infected: not-a-virus:AdWare.Win32.Gator.1050 skipped

C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final)\getrt450.exe WiseSFX: infected - 1 skipped

C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final).exe/GetRight v4.5 (Final)/getrt450.exe/WISE0087.BIN Infected: not-a-virus:AdWare.Win32.Gator.1050 skipped

C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final).exe/GetRight v4.5 (Final)/getrt450.exe Infected: not-a-virus:AdWare.Win32.Gator.1050 skipped

C:\Eigene Dateien\Software\Internet\GetRight v4.5 (Final).exe RAR: infected - 2 skipped

C:\Eigene Dateien\Software\Proggys\Style.XP.v2.13.Working.ECLiPSE's.Keygen.for.SP2.zip/eclsxp13.exe Infected: Trojan-Dropper.Win32.Delf.fl skipped

C:\Eigene Dateien\Software\Proggys\Style.XP.v2.13.+Working.ECLiPSE's.Keygen.for.SP2.zip ZIP: infected - 1 skipped

F:\!KillBox\cregcowq.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped

F:\!KillBox\dssoundi.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.gen skipped

F:\!KillBox\gpakaaaa.exe Infected: Trojan-Downloader.Win32.Murlo.dm skipped

F:\!KillBox\mdxkddiv.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped

F:\!KillBox\tudoiweu.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped

F:\!KillBox\wbegxwai.dll Infected: not-a-virus:AdWare.Win32.Virtumonde.am skipped

F:\!KillBox\__delete_on_reboot__hgbqeabl.dll Infected: Trojan-Proxy.Win32.Agent.jz skipped

F:\!KillBox\__delete_on_reboot__qnsyjqtv.dll Infected: Trojan-Proxy.Win32.Agent.jz skipped

F:\!KillBox\__delete_on_reboot__rtxpdasn.dll Infected: Trojan-Proxy.Win32.Agent.jz skipped

Scan process completed.

#8 nun weiss du, was du noch alles manuell loeschen musst...alles was Kaspersky angezeigt hat.
und verzichte in Zukunft auf .keyg*hier nicht* und deren Seiten.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Danke nochmals viel viel mals für die kompetente Hilfe!!
Und ja, diese zwei programme waren vielleicht blöde, sie illegal zu saugen. Aber ich kann sie hier in der Schweiz nicht kaufen, auch wenn ich es möchte....

#10 Hallo an alle,
Ich hab folgendes Problem...
Ich hatte kürzlich ein kleines Tool aus dem Internet gesaugt... am Rechner angekomm ist der sofort verschwunden. Mir war des natülich Koscha hab dan sofort AntiVirus Programm : Kaspersky, angeschaltet. Er hat folgendes gefunden
C:\WINDOWS\system32\winrzf32.dll als infiziert gemeldet sowie
winlogon.exe\winrzf32.dll er kann beides nicht löschen... wenn er es versucht stürzt der PC ab.
Ich habe das selbe auch im Abgesicherten Modus versucht!

soll ich jetz auch des selbe machen? ^^ hätte neues thread erstellt aber der meint immer ich soll beim titel "Hilfe?" angeben... was ich auch mach... naja ich posts ma hier nei weil ich des selbe problem hab..

#11 Spire

schreib mir, welches Proramm du geladen hast (einen Codec? )

arbeite das ab und poste alle logs
http://board.protecus.de/t23188.htm

----------------------------------------------------------

Information:
http://virus-protect.org/artikel/spyware/spywarequake.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Ich habe über Google eurer Forum gefunden und hoffe dass ihr mit weiterhelfen könnt.


Sehr geehrte Damen und Herren !
Seit 3 Tagen beschäfltigt mich das Problem, dass mein Internetstatus anzeigt, dass permanent Daten von meinen PC gesendet und empfangen werden. ca. 1 MB pro Sekunde ohne aktiv im Internet zu sein. Da ich nur 1 GB Voluamen im Monat habe, schnellen meine Kosten in die Höhe.
Ich vermute Trojaner oder Backdoor. Meine AntiVirus Programm zeigt infizierte Datei winlogon.exe (TR/Patched.I) in System32. Hab versucht Dateien im abgesicherten Modus zu löschen, doch bei Neustart waren sie wieder da. Auch durch Antivir lassen sie nicht löschen.

Leider hab ich auch keine saubere Version von winlogon.exe im dllcache !

Zusätzlich zeigt mein Taskmanager an, dass Winword.exe 99% CPU Auslastung verursacht. Hab aber dass Programm gar nicht geöffnet !!

Bestehen das Zusammenhänge ?
Kann mir das bitte jemand Rat geben.

Liebe Grüße
Gerhard

#13 Dottore

arbeite das ab und poste alle logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Logfile of HijackThis v1.99.1
Scan saved at 14:31:57, on 06.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\systems_.exe
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mag Gerhard Peterlin - 07-01-05 21:23:45,29 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Eigene Dateien\Downloads"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\Install.dat
C:\secure32.html
C:\WINDOWS\system32\ixt1.dll
C:\Programme\Safety Bar
C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-12-05 to 2007-01-05 ))))))))))))))))))))))))))))))))))


2007-01-05 21:14 <DIR> d-------- C:\Datfind
2007-01-05 18:21 36,864 --a------ C:\WINDOWS\system32\main.sys
2007-01-04 13:11 <DIR> d-------- C:\WINDOWS\temp
2007-01-04 13:11 <DIR> d-------- C:\WINDOWS\Content.IE5
2007-01-04 09:20 <DIR> d--h----- C:\WINDOWS\PIF
2007-01-04 09:07 <DIR> d-------- C:\Programme\M9207
2007-01-04 08:50 <DIR> d-------- C:\Config.Msi
2007-01-03 19:55 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-01-03 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2007-01-02 08:05 31,744 --a------ C:\WINDOWS\system32\wsys(2)(3).dll
2006-12-20 14:16 <DIR> d-------- C:\Archos Backup
2006-12-14 12:10 15,360 --a------ C:\WINDOWS\system32\drivers\MPE.sys
2006-12-14 12:09 363,520 --a------ C:\WINDOWS\system32\PsisDecd.dll
2006-12-14 12:09 11,776 --a------ C:\WINDOWS\system32\drivers\BdaSup.sys
2006-12-14 12:08 40,960 --------- C:\WINDOWS\system32\unM9205.exe
2006-12-14 12:08 35,587 --------- C:\WINDOWS\system32\rm9206.exe
2006-12-14 12:08 34,272 --a------ C:\WINDOWS\system32\drivers\M9207BDA.sys
2006-12-14 12:08 21,201 --------- C:\WINDOWS\system32\rm9205.exe
2006-12-14 12:07 151,552 --a------ C:\WINDOWS\system32\MPEG2VideoDMO.dll
2006-12-14 12:07 <DIR> d-------- C:\Programme\MMEDIA
2006-12-09 18:19 <DIR> d-------- C:\Programme\Boilsoft ASF Converter
2006-12-09 15:31 <DIR> d-------- C:\Programme\XviD
2006-12-09 13:56 <DIR> d-------- C:\Programme\Archos MP4SP


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-05 20:03 25024 --a------ C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\wklnhst.dat
2007-01-04 19:26 -------- d-------- C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\AdobeUM
2007-01-03 20:54 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2007-01-02 08:05 507392 --------- C:\WINDOWS\system32\winlogon.exe
2006-12-30 21:52 -------- d-------- C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\Canon
2006-12-14 12:08 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-09 16:31 -------- d---s---- C:\Dokumente und Einstellungen\Mag Gerhard Peterlin\Anwendungsdaten\Microsoft
2006-11-07 00:05 -------- d-------- C:\Programme\Google


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"OpwareSE2"="\"C:\\Programme\\ScanSoft\\OmniPageSE2.0\\OpwareSE2.exe\""
"OPSE reminder"="\"C:\\Programme\\ScanSoft\\OmniPageSE2.0\\EregGer\\Ereg.exe\" -r \"C:\\Programme\\ScanSoft\\OmniPageSE2.0\\EregGer\\ereg.ini\""
"SpeedTouch USB Diagnostics"="\"C:\\Programme\\Alcatel\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SoundMan"="SOUNDMAN.EXE"
"UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\
6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"AVGCtrl"="C:\\Programme\\AVPersonal\\AVGNT.EXE /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\WINDOWS\\warnhp.html"
"SubscribedURL"=""
"FriendlyName"="Desktop Uninstall"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,e2,02,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:02,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,02,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{168cf174-6dab-461c-a761-a7adfa5a5719}"="campy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"NoDispAppearancePage"=dword:00000000
"NoDispBackgroundPage"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:0000005f
"NoActiveDesktop"=dword:00000000
"NoSaveSettings"=dword:00000000
"ClassicShell"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableTaskMgr"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_5"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="YahooMessenger"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe\" -quiet"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=dword:00000002
"AntiVirScheduler"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 07-01-05 21:26:33.82
C:\ComboFix.txt ... 07-01-05 21:26

Datentr„ger in Laufwerk C: ist 442457
Volumeseriennummer: E047-59D0

Verzeichnis von C:\

05.01.2007 21:18 0 sys.txt
05.01.2007 21:17 598 down.txt
05.01.2007 21:17 426 tmp.txt
05.01.2007 21:16 12.164 system.txt
05.01.2007 21:15 479 systemtemp.txt
05.01.2007 21:14 96.963 system32.txt
05.01.2007 21:10 805.306.368 pagefile.sys
04.01.2007 19:35 211 boot.ini
04.01.2007 13:11 998 smitfiles.txt
28.09.2006 12:38 1.152 5vwja6hw.sys
24.08.2006 07:41 3.061 secure32.html
24.08.2006 07:39 0 uniq
05.05.2006 15:59 146 YServer.txt
30.12.2005 18:35 27 expand.txt
14.12.2005 18:49 251.712 ntldr
14.12.2005 18:32 0 CONFIG.SYS
14.12.2005 18:32 0 MSDOS.SYS
14.12.2005 18:32 0 AUTOEXEC.BAT
14.12.2005 18:32 0 IO.SYS
14.12.2005 11:59 15.181 Prodlog.txt
14.12.2005 11:59 788 868000442457.dat
11.10.2004 06:18 19 LANG.TXT
04.08.2004 13:00 2 oem.tag
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
13.03.2002 13:16 11 Language.txt
26 Datei(en) 805.742.822 Bytes
0 Verzeichnis(se), 159.377.920.000 Bytes frei



Datentr„ger in Laufwerk C: ist 442457
Volumeseriennummer: E047-59D0

Verzeichnis von C:\WINDOWS

05.01.2007 21:16 399.433 WindowsUpdate.log
05.01.2007 21:10 0 0.log
05.01.2007 21:10 159 wiadebug.log
05.01.2007 21:10 50 wiaservc.log
05.01.2007 21:10 2.048 bootstat.dat
05.01.2007 21:09 32.642 SchedLgU.Txt
04.01.2007 19:35 781 win.ini
04.01.2007 19:35 227 system.ini
04.01.2007 15:22 521.366 setupact.log
04.01.2007 15:22 438.677 setupapi.log
04.01.2007 15:22 0 setuperr.log
27.12.2006 17:35 116 NeroDigital.ini
21.12.2006 17:48 65.782 wmsetup.log
09.11.2006 14:56 754 WORDPAD.INI
08.11.2006 21:09 43 gswin32.ini
18.09.2006 09:09 400 ODBC.INI
18.09.2006 09:09 3.291 OEWABLog.txt
30.08.2006 22:50 244 IE4 Error Log.txt
28.08.2006 08:55 328 ulead32.ini
26.08.2006 11:46 5.816 COM+.log
26.08.2006 11:16 279.510 comsetup.log
26.08.2006 11:09 100.775 iis6.log
26.08.2006 11:09 273.461 tsoc.log
26.08.2006 11:09 157.120 ntdtcsetup.log
26.08.2006 11:09 36.915 ocmsn.log
26.08.2006 11:09 4.382 imsins.log


Datentr„ger in Laufwerk C: ist 442457
Volumeseriennummer: E047-59D0

Verzeichnis von C:\WINDOWS\system32

05.01.2007 21:10 29.204 nvapps.xml
05.01.2007 18:21 36.864 main.sys
04.01.2007 17:23 1.158 wpa.dbl
04.01.2007 12:36 2.550 Uninstall.ico
04.01.2007 12:36 1.406 Help.ico
04.01.2007 12:36 30.590 pavas.ico
04.01.2007 11:24 552 d3d8caps.dat
02.01.2007 11:08 31.744 wsys(2)(3).dll
02.01.2007 08:05 507.392 winlogon.exe
01.11.2006 08:43 398.112 perfh009.dat
01.11.2006 08:43 61.088 perfc009.dat
01.11.2006 08:43 412.296 perfh007.dat
01.11.2006 08:43 73.562 perfc007.dat
01.11.2006 08:43 956.630 PerfStringBackup.INI
11.09.2006 17:21 18.432 ixt1.dll
26.08.2006 11:09 181.832 FNTCACHE.DAT
26.08.2006 11:09 264 $winnt$.inf
26.08.2006 11:05 23.392 nscompat.tlb
26.08.2006 11:05 16.832 amcompat.tlb
26.08.2006 11:04 488 logonui.exe.manifest
26.08.2006 11:04 488 WindowsLogon.manifest
26.08.2006 11:04 749 wuaucpl.cpl.manifest
26.08.2006 11:04 749 cdplayer.exe.manifest
26.08.2006 11:04 749 sapi.cpl.manifest
26.08.2006 11:04 749 ncpa.cpl.manifest
26.08.2006 11:04 749 nwc.cpl.manifest
26.08.2006 11:03 22.976 emptyregdb.dat
26.08.2006 11:02 525 mapisvc.inf
24.08.2006 07:42 0 winrknj
09.08.2006 20:03 8.325.544 MRT.exe
23.06.2006 10:09 104.960 xpsp3res.dll
02.06.2006 10:04 57.384 avsda.dll
08.05.2006 09:30 3.157 jupdate-1.4.2_03-b02.log
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
17.03.2006 01:38 28.672 verclsid.exe
01.03.2006 14:40 151.552 MPEG2VideoDMO.dll
14.02.2006 09:32 40.960 unM9205.exe
14.02.2006 09:32 35.587 rm9206.exe
14.02.2006 09:32 21.201 rm9205.exe




Datentr„ger in Laufwerk C: ist 442457
Volumeseriennummer: E047-59D0

Verzeichnis von C:\DOKUME~1\MAGGER~1\LOKALE~1\Temp

05.01.2007 21:10 3.544 jusched.log
05.01.2007 21:10 16.384 ~DFE1C9.tmp
04.01.2007 16:59 157 dw.log
04.01.2007 16:03 2 Twain001.Mtx
04.01.2007 16:03 0 TWAIN.LOG
5 Datei(en) 20.087 Bytes
0 Verzeichnis(se), 159.377.883.136 Bytes frei


Datentr„ger in Laufwerk C: ist 442457
Volumeseriennummer: E047-59D0

Verzeichnis von C:\WINDOWS\temp

05.01.2007 18:21 169 gkjnr_nt.conf
05.01.2007 08:42 57.344 2200671.exe
04.01.2007 19:40 57.344 258843.exe
04.01.2007 15:18 0 T30DebugLogFile.txt
4 Datei(en) 114.857 Bytes
0 Verzeichnis(se), 159.377.924.096 Bytes frei



Datentr„ger in Laufwerk C: ist 442457
Volumeseriennummer: E047-59D0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
26.08.2006 11:04 65 desktop.ini
24.08.2006 08:28 141.424 asinst.dll
22.08.2006 09:06 537 asinst.inf
03.05.2006 20:44 318 WebCleaner.inf
03.05.2006 20:27 4.434.336 WebCleaner.dll
19.11.2003 23:22 740 jinstall-1_4_2_03.inf
7 Datei(en) 4.582.439 Bytes
0 Verzeichnis(se), 159.377.924.096 Bytes frei


B e g i n n e m i t d e r S u c h e i n ' C : \ ' < 4 4 2 4 5 7 >

\ \ ? \ \ \ ? \ 5 v w j a 6 h w . s y s

[ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n !

\ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ C O N F I G . S Y S

[ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n !

\ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ I O . S Y S

[ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n !

\ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ M S D O S . S Y S

[ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n !

\ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ \ \ ? \ p a g e f i l e . s y s

[ W A R N U N G ] D i e D a t e i k o n n t e n i c h t g e ö f f n e t w e r d e n !





E n d e d e s S u c h l a u f s : S a m s t a g , 0 6 . J ä n n e r 2 0 0 7 1 4 : 3 5

B e n ö t i g t e Z e i t : 0 0 : 0 4 m i n



D e r S u c h l a u f w u r d e v o l l s t ä n d i g d u r c h g e f ü h r t .



1 V e r z e i c h n i s s e w u r d e n ü b e r p r ü f t

8 6 D a t e i e n w u r d e n g e p r ü f t

2 V i r e n b z w . u n e r w ü n s c h t e P r o g r a m m e w u r d e n g e f u n d e n

0 D a t e i e n w u r d e n g e l ö s c h t

0 V i r e n b z w . u n e r w ü n s c h t e P r o g r a m m e w u r d e n r e p a r i e r t

0 D a t e i e n w u r d e n i n d i e Q u a r a n t ä n e v e r s c h o b e n

0 D a t e i e n w u r d e n u m b e n a n n t

5 D a t e i e n k o n n t e n n i c h t d u r c h s u c h t w e r d e n

8 4 D a t e i e n o h n e B e f a l l

0 A r c h i v e w u r d e n d u r c h s u c h t

5 W a r n u n g e n

0 H i n w e i s e

#15 Dottore

______________________________________________________

0.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint


1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\5vwja6hw.sys
C:\WINDOWS\system32\main.sys
C:\WINDOWS\system32\rm9205.exe
C:\WINDOWS\system32\unM9205.exe
C:\WINDOWS\temp\2200671.exe
C:\WINDOWS\temp\258843.exe
C:\WINDOWS\system32\wsys(2)(3).dll
C:\WINDOWS\system32\winlogon.exe

poste hier die reporte

________________________________________________________________

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{168cf174-6dab-461c-a761-a7adfa5a5719}
HKLM\software\microsoft\windows\currentversion\policies\system|DisableTaskMgr

Files to delete:
C:\5vwja6hw.sys
C:\secure32.html
C:\uniq
C:\WINDOWS\warnhp.html
C:\WINDOWS\IE4 Error Log.txt
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\winrknj
C:\WINDOWS\temp\gkjnr_nt.conf
C:\WINDOWS\temp\2200671.exe
C:\WINDOWS\temp\258843.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

poste hier die scanreporte vom scan

_
__________
MfG Sabina

rund um die PC-Sicherheit