Spy Sheriff kann nicht gelöscht werden

#0
10.06.2006, 22:10
Member

Beiträge: 45
#1 Hallo!

Gestern bekam ich einen Rechner zum reparieren. Er war bis zum Stehkragen voll mit Malware. Als ich dachte ich wäre fertig, riskierte ich einen neugierigen Blick in Software. Da staunte ich nicht schlecht als da Spy Sheriff stand. Nun bin ich ratlos, weil ich das nicht löschen kann. Ich weiß auch nicht wo das gespeichert ist.
Der Rechner hat keinen LAN Anschluß, nur eine ISDN Karte. Die Daten könnte ich über einen USB Stick transportieren.
Seitenanfang Seitenende
10.06.2006, 22:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 wie waere es mit formatieren ?? ;)

-----------------------------------------------------------------

arbeite das ab und poste die logs
http://board.protecus.de/t23187.htm

+

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpySheriff

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.06.2006, 00:00
Member

Themenstarter

Beiträge: 45
#3 Wenn ich gleich formatiert hätte, wäre ich schon fertig, da hast du recht.
Da ist erst mal das Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:56:11, on 10.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlsZG5lcg\command.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Genuine Update Service (WGUServ) - Unknown owner - C:\WINDOWS\system32\wguserv.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)

Ach ja, die Updates und das SP2 mach ich noch drauf.


Und da sind die Logs vom Datfindbat:

Verzeichnis von C:\WINDOWS\system32

10.06.2006 20:29 41.108 vsconfig.xml
10.06.2006 19:51 4.212 zllictbl.dat
10.06.2006 18:30 311.740 perfh009.dat
10.06.2006 18:30 40.128 perfc009.dat
10.06.2006 18:30 316.924 perfh007.dat
10.06.2006 18:30 48.354 perfc007.dat
10.06.2006 18:30 723.744 PerfStringBackup.INI
10.06.2006 18:27 90.296 FNTCACHE.DAT
10.06.2006 18:25 288 $winnt$.inf
10.06.2006 18:21 25.065 wmpscheme.xml
10.06.2006 18:21 16.832 amcompat.tlb
10.06.2006 18:21 23.392 nscompat.tlb
10.06.2006 18:18 488 logonui.exe.manifest
10.06.2006 18:18 488 WindowsLogon.manifest
10.06.2006 18:17 749 sapi.cpl.manifest
10.06.2006 18:17 749 nwc.cpl.manifest
10.06.2006 18:17 749 ncpa.cpl.manifest
10.06.2006 18:17 749 cdplayer.exe.manifest
10.06.2006 18:17 749 wuaucpl.cpl.manifest
10.06.2006 18:15 22.880 emptyregdb.dat
10.06.2006 02:21 0 ksl48.bin
09.06.2006 10:52 2.184 wpa.dbl
08.06.2006 09:06 73 i
07.06.2006 12:40 6 tick48.bin
06.06.2006 08:57 84 net.ini
05.06.2006 10:42 57.856 TFTP3256
05.06.2006 10:42 1.460 eraseme_14046.exe
05.06.2006 10:41 116 rpzokj.bat
04.06.2006 20:06 0 eraseme_31881.exe
04.06.2006 20:05 119 anuhwo.bat
04.06.2006 20:02 16.384 setup_86470.exe
04.06.2006 19:58 74 bios.rom

04.06.2006 14:10 0 h323log.txt
04.06.2006 13:22 2.951 CONFIG.NT
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll



Verzeichnis von C:\DOKUME~1\Mildner\LOKALE~1\Temp

10.06.2006 20:13 16.384 ~DF6CF6.tmp
09.06.2006 10:52 0 $b17a2e8.tmp
08.06.2006 09:06 16.384 Perflib_Perfdata_1018.dat
08.06.2006 09:06 16.384 Perflib_Perfdata_88c.dat
07.06.2006 13:05 0 WER5.tmp
07.06.2006 13:05 0 WER4.tmp
07.06.2006 12:31 16.384 Perflib_Perfdata_42c.dat
07.06.2006 12:17 16.384 Perflib_Perfdata_6f4.dat
07.06.2006 12:15 16.384 Perflib_Perfdata_a04.dat
07.06.2006 12:10 16.384 Perflib_Perfdata_694.dat
07.06.2006 12:10 16.384 Perflib_Perfdata_69c.dat
06.06.2006 12:26 16.384 Perflib_Perfdata_14b0.dat
06.06.2006 12:09 16.384 Perflib_Perfdata_878.dat
05.06.2006 20:06 0 WER3.tmp
05.06.2006 20:04 2.367.982 ErrorSafeScannerSetup.exe
05.06.2006 12:03 0 WER9.tmp
05.06.2006 12:02 0 WER8.tmp
05.06.2006 12:01 0 WER7.tmp
05.06.2006 12:00 0 WER6.tmp
05.06.2006 10:33 16.384 Perflib_Perfdata_778.dat
05.06.2006 08:48 16.384 Perflib_Perfdata_760.dat
04.06.2006 20:40 14.886 ms4045.tmp
04.06.2006 20:40 10.984 ms4035.tmp
04.06.2006 20:38 10.984 ms3848.tmp
04.06.2006 20:38 14.886 ms3836.tmp
04.06.2006 18:05 9.725 Microsoft Office 2003 Setup(0001).txt
04.06.2006 18:05 169.154 Microsoft Office 2003 Setup(0001)_Task(0001).txt
04.06.2006 18:03 55.331 offcln11.log
04.06.2006 13:45 188 tosup.log



Verzeichnis von C:\WINDOWS

10.06.2006 20:44 6.140 svcpack.log
10.06.2006 20:43 235.052 setupapi.log
10.06.2006 20:29 0 0.log
10.06.2006 20:29 8.442 SchedLgU.Txt
10.06.2006 20:29 2.048 bootstat.dat
10.06.2006 18:58 9.874 Windows Update.log
10.06.2006 18:37 1.442 COM+.log
10.06.2006 18:29 39.414 comsetup.log
10.06.2006 18:28 538.406 setuplog.txt
10.06.2006 18:26 112.706 iis6.log
10.06.2006 18:26 20.531 ntdtcsetup.log
10.06.2006 18:26 25.720 tsoc.log
10.06.2006 18:26 4.382 imsins.log
10.06.2006 18:26 213.885 setupact.log
10.06.2006 18:21 299.552 WMSysPrx.prx
10.06.2006 18:21 1.261 OEWABLog.txt
10.06.2006 18:20 4.161 ODBCINST.INI
10.06.2006 18:17 749 WindowsShell.Manifest
10.06.2006 18:17 659 win.ini
10.06.2006 18:16 2.784 ocmsn.log
10.06.2006 18:16 30.685 ocgen.log
10.06.2006 18:16 2.075 msgsocm.log
10.06.2006 18:16 29.863 FaxSetup.log
10.06.2006 18:16 2.139 sessmgr.setup.log
10.06.2006 18:14 243 DtcInstall.log
10.06.2006 18:13 21.536 msmqinst.log
10.06.2006 17:30 50 wiaservc.log
10.06.2006 17:30 409 wiadebug.log
10.06.2006 17:29 5.098 avmcoins.log
10.06.2006 17:23 2.480 regopt.log
10.06.2006 17:23 227 system.ini
10.06.2006 02:04 218.982 setupapi.old
08.06.2006 09:04 0 keyboard1.dat
05.06.2006 12:08 42 drsmartload2.dat
05.06.2006 10:42 38.803 WHCC2.exe
05.06.2006 10:39 0 newname.dat
05.06.2006 10:39 40 teller2.chk

04.06.2006 18:19 1.891 imsins.BAK
04.06.2006 14:06 0 Sti_Trace.log
04.06.2006 13:46 219 uno.ini
04.06.2006 13:32 8.192 REGLOCS.OLD
04.06.2006 13:29 622 setuperr.log
04.06.2006 13:22 0 control.ini
04.06.2006 13:14 36 vb.ini
04.06.2006 13:14 37 vbaddin.ini




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C93C-B5A4

Verzeichnis von C:\

11.06.2006 00:16 0 sys.txt
11.06.2006 00:16 4.380 system.txt
11.06.2006 00:15 2.010 systemtemp.txt
11.06.2006 00:12 86.172 system32.txt
10.06.2006 20:29 385.404.928 hiberfil.sys
10.06.2006 20:29 578.813.952 pagefile.sys
10.06.2006 18:13 194 boot.ini
07.06.2006 12:15 56.676 Trelew.exe
06.06.2006 09:25 0 umqtjbg.exe
05.06.2006 20:19 0 xaouye.exe
05.06.2006 20:19 0 gbyui.exe
05.06.2006 20:19 0 dilg.exe
05.06.2006 20:19 0 ktsfd.exe
05.06.2006 20:19 0 majo.exe
05.06.2006 20:17 0 uniq

05.06.2006 11:57 418 AxLog.txt
04.06.2006 13:45 428 TO_InstallLog.txt
25.05.2006 15:18 142.508 hpfr3600.log
14.05.2005 16:18 13.290 drwtsn32.log
07.05.2004 16:26 16 win2.log
09.04.2004 13:37 36.145 dxdiag.txt




REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 00:32:52 for strings:
; 'spysheriff'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]
"DisplayIcon"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"
"UninstallString"="C:\\Program Files\\SpySheriff\\Uninstall.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_USERS\.DEFAULT\Software\SpySheriff]

[HKEY_USERS\.DEFAULT\Software\SpySheriff]
"Uninstall"="C:\\Program Files\\SpySheriff"

[HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security\BlockedLocations]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed]
"C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Restricted]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Scan]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\System Security]

[HKEY_USERS\.DEFAULT\Software\SpySheriff\Updates]

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\SpySheriff\\Uninstall.exe"="Uninstall"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_USERS\S-1-5-18\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\SpySheriff]
"Uninstall"="C:\\Program Files\\SpySheriff"

[HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security\BlockedLocations]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed]
"C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Restricted]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Scan]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\System Security]

[HKEY_USERS\S-1-5-18\Software\SpySheriff\Updates]

; End Of The Log...


Andere schreibweise von spysheriff: (Spy Sheriff)


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 10:24:54 for strings:
; 'spy sheriff'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spy Sheriff]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff]
"DisplayName"="Spy Sheriff"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
"LastKey"="Arbeitsplatz\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Spy Sheriff"

; End Of The Log...
Dieser Beitrag wurde am 11.06.2006 um 10:29 Uhr von Nanuk editiert.
Seitenanfang Seitenende
11.06.2006, 14:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Nanuk

**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\TWlsZG5lcg" >>files.txt
dir "C:\Program Files\SpySheriff" >>files.txt
notepad files.txt
--------------------------------------------------------------------

1.
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Command Service (cmdService)
Microsoft Windows Spooler Service (Windows Spooler Service)
Windows Genuine Update Service (WGUServ)

----------------------------------------------------------------------

2.
Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K.

sc delete Command Service
sc delete cmdService
sc delete Microsoft Windows Spooler Service
sc delete Windows Spooler Service
sc delete Windows Genuine Update Service
sc delete WGUServ

----------------------------------------------------------------------------------
3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_CURRENT_USER\Software\SNO2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff
HKEY_USERS\.DEFAULT\Software\SpySheriff
HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff
HKEY_USERS\S-1-5-18\Software\SpySheriff
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E}
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Files to delete:
C:\WINDOWS\services.exe
C:\WINDOWS\TWlsZG5lcg\command.exe
C:\WINDOWS\TWlsZG5lcg\asappsrv.dll
C:\WINDOWS\system32\i
C:\WINDOWS\system32\tick48.bin
C:\WINDOWS\system32\net.ini
C:\WINDOWS\system32\TFTP3256
C:\WINDOWS\system32\eraseme_14046.exe
C:\WINDOWS\system32\rpzokj.bat
C:\WINDOWS\system32\eraseme_31881.exe
C:\WINDOWS\system32\anuhwo.bat
C:\WINDOWS\system32\setup_86470.exe
C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\$b17a2e8.tmp
C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\ErrorSafeScannerSetup.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\drsmartload2.dat
C:\WINDOWS\WHCC2.exe
C:\WINDOWS\newname.dat
C:\WINDOWS\teller2.chk
C:\Trelew.exe
C:\umqtjbg.exe
C:\xaouye.exe
C:\gbyui.exe
C:\dilg.exe
C:\ktsfd.exe
C:\majo.exe
C:\uniq
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint

**

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


Zitat

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlsZG5lcg\command.exe (file missing)
O23 - Service: Windows Genuine Update Service (WGUServ) - Unknown owner - C:\WINDOWS\system32\wguserv.exe (file missing)
O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\services.exe (file missing)
PC neustarten

deinstalliere:
C:\Program Files\SpySheriff

-----------------------------------------------------------------------

kopiere in Registry Search

a)
SpySheriff

b)
Microsoft Windows Spooler Service

c)
Windows Genuine Update Service

und poste die logs.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.06.2006, 15:46
Member

Themenstarter

Beiträge: 45
#5 Bei Services.msc komme ich nicht weiter. Es öffnet sich "Dienste" und Eigenschaften kann ich dort nicht finden.
Seitenanfang Seitenende
11.06.2006, 16:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Dienste deaktivieren
Variante 1:

Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählen

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"
fuer diese Dienste:

Command Service (cmdService)
Microsoft Windows Spooler Service (Windows Spooler Service)
Windows Genuine Update Service (WGUServ)

-------------------------------------------------------------------------------

Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "..............." beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken.
Der "................" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Beispiel:..siehe unten...der nachrichtendienst....
http://virus-protect.org/windowsdienste.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.06.2006, 16:35
Member

Themenstarter

Beiträge: 45
#7 Aaaaaah, jetzt habe ich verstanden, den Eintrag "Command Service" doppelklicken und bei Starttyp deaktiviert auswählen.

Danke, jetzt gehts weiter.
Seitenanfang Seitenende
11.06.2006, 16:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1. Punkt war das hier:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\TWlsZG5lcg" >>files.txt
dir "C:\Program Files\SpySheriff" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.06.2006, 17:13
Member

Themenstarter

Beiträge: 45
#9 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C93C-B5A4

Verzeichnis von C:\WINDOWS\TWlsZG5lcg

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C93C-B5A4

Verzeichnis von C:\Program Files\SpySheriff

10.06.2006 16:09 <DIR> .
10.06.2006 16:09 <DIR> ..
06.06.2006 08:47 410.880 base.avd
06.06.2006 08:47 268 base001.avd
06.06.2006 08:47 24.360 base002.avd
06.06.2006 08:47 7.304 found.wav
06.06.2006 08:47 123.392 heur001.dll
06.06.2006 08:47 21.126 notfound.wav
06.06.2006 08:47 18.132 removed.wav
06.06.2006 08:47 100 SpySheriff.dvm
06.06.2006 08:47 416.256 SpySheriff.exe
06.06.2006 08:47 36.864 Uninstall.exe
10 Datei(en) 1.058.682 Bytes
2 Verzeichnis(se), 1.416.011.776 Bytes frei


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\SNO2


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ehpsoief

*******************

Script file located at: \??\C:\WINDOWS\kksqsrcp.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService
Status: 0xc0000034



File C:\WINDOWS\services.exe not found!
Deletion of file C:\WINDOWS\services.exe failed!

Could not process line:
C:\WINDOWS\services.exe
Status: 0xc0000034



File C:\WINDOWS\TWlsZG5lcg\command.exe not found!
Deletion of file C:\WINDOWS\TWlsZG5lcg\command.exe failed!

Could not process line:
C:\WINDOWS\TWlsZG5lcg\command.exe
Status: 0xc0000034



File C:\WINDOWS\TWlsZG5lcg\asappsrv.dll not found!
Deletion of file C:\WINDOWS\TWlsZG5lcg\asappsrv.dll failed!

Could not process line:
C:\WINDOWS\TWlsZG5lcg\asappsrv.dll
Status: 0xc0000034

File C:\WINDOWS\system32\i deleted successfully.
File C:\WINDOWS\system32\tick48.bin deleted successfully.
File C:\WINDOWS\system32\net.ini deleted successfully.
File C:\WINDOWS\system32\TFTP3256 deleted successfully.
File C:\WINDOWS\system32\eraseme_14046.exe deleted successfully.
File C:\WINDOWS\system32\rpzokj.bat deleted successfully.
File C:\WINDOWS\system32\eraseme_31881.exe deleted successfully.
File C:\WINDOWS\system32\anuhwo.bat deleted successfully.
File C:\WINDOWS\system32\setup_86470.exe deleted successfully.
File C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\$b17a2e8.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\ErrorSafeScannerSetup.exe deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.
File C:\WINDOWS\drsmartload2.dat deleted successfully.
File C:\WINDOWS\WHCC2.exe deleted successfully.
File C:\WINDOWS\newname.dat deleted successfully.
File C:\WINDOWS\teller2.chk deleted successfully.
File C:\Trelew.exe deleted successfully.
File C:\umqtjbg.exe deleted successfully.
File C:\xaouye.exe deleted successfully.
File C:\gbyui.exe deleted successfully.
File C:\dilg.exe deleted successfully.
File C:\ktsfd.exe deleted successfully.
File C:\majo.exe deleted successfully.
File C:\uniq deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff deleted successfully.
Registry key HKEY_USERS\.DEFAULT\Software\SpySheriff deleted successfully.


Registry key HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff not found!
Deletion of registry key HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff failed!
Status: 0xc0000034



Registry key HKEY_USERS\S-1-5-18\Software\SpySheriff not found!
Deletion of registry key HKEY_USERS\S-1-5-18\Software\SpySheriff failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Die drei Einträge im Hjt waren nicht mehr vorhanden. Auch gut.


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 17:05:48 for strings:
; 'spysheriff'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Program Files\\SpySheriff\\Uninstall.exe"="Uninstall"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe"

; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 17:07:33 for strings:
; 'microsoft windows spooler service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spooler Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service]
"DisplayName"="Microsoft Windows Spooler Service"
"Description"="Microsoft Windows Spooler Service"

[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"f"="sc delete Microsoft Windows Spooler Service\\1"

; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 11.06.2006 17:08:29 for strings:
; 'windows genuine update service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
"h"="sc delete Windows Genuine Update Service\\1"

; End Of The Log...
Seitenanfang Seitenende
11.06.2006, 17:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"=-

[-HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff]

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"SpySheriff"=-
1.
deinstalliere den SpySheriff

2.
loesche mit dem Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service

Files to delete:
C:\Program Files\SpySheriff\base.avd
C:\Program Files\SpySheriff\base001.avd
C:\Program Files\SpySheriff\base002.avd
C:\Program Files\SpySheriff\found.wav
C:\Program Files\SpySheriff\heur001.dll
C:\Program Files\SpySheriff\notfound.wav
C:\Program Files\SpySheriff\removed.wav
C:\Program Files\SpySheriff\SpySheriff.dvm
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\SpySheriff\Uninstall.exe
**
poste das log vom Aveger

**

C:\Program Files\SpySheriff -> loeschen

**
bringe den ewido auf das system, scanne und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.06.2006, 17:40
Member

Themenstarter

Beiträge: 45
#11 Das Programm Spysheriff habe ich in C:\Program Files\SpySheriff 2x versucht zu deinstallieren. Nix ist passiert. Dann habe ich es einfach so gelöscht.

Rest kommt gleich.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vtoctcde

*******************

Script file located at: \??\C:\WINDOWS\System32\cwdwvofb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service
Status: 0xc0000034



Could not open file C:\Program Files\SpySheriff\base.avd for deletion
Deletion of file C:\Program Files\SpySheriff\base.avd failed!

Could not process line:
C:\Program Files\SpySheriff\base.avd
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\base001.avd for deletion
Deletion of file C:\Program Files\SpySheriff\base001.avd failed!

Could not process line:
C:\Program Files\SpySheriff\base001.avd
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\base002.avd for deletion
Deletion of file C:\Program Files\SpySheriff\base002.avd failed!

Could not process line:
C:\Program Files\SpySheriff\base002.avd
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\found.wav for deletion
Deletion of file C:\Program Files\SpySheriff\found.wav failed!

Could not process line:
C:\Program Files\SpySheriff\found.wav
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\heur001.dll for deletion
Deletion of file C:\Program Files\SpySheriff\heur001.dll failed!

Could not process line:
C:\Program Files\SpySheriff\heur001.dll
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\notfound.wav for deletion
Deletion of file C:\Program Files\SpySheriff\notfound.wav failed!

Could not process line:
C:\Program Files\SpySheriff\notfound.wav
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\removed.wav for deletion
Deletion of file C:\Program Files\SpySheriff\removed.wav failed!

Could not process line:
C:\Program Files\SpySheriff\removed.wav
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\SpySheriff.dvm for deletion
Deletion of file C:\Program Files\SpySheriff\SpySheriff.dvm failed!

Could not process line:
C:\Program Files\SpySheriff\SpySheriff.dvm
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\SpySheriff.exe for deletion
Deletion of file C:\Program Files\SpySheriff\SpySheriff.exe failed!

Could not process line:
C:\Program Files\SpySheriff\SpySheriff.exe
Status: 0xc000003a



Could not open file C:\Program Files\SpySheriff\Uninstall.exe for deletion
Deletion of file C:\Program Files\SpySheriff\Uninstall.exe failed!

Could not process line:
C:\Program Files\SpySheriff\Uninstall.exe
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.



---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:53:13, 11.06.2006
+ Report-Checksumme: C9B638B9

+ Scanergebnis:

C:\Dokumente und Einstellungen\Jürgen\Eigene Dateien\Eigene eBooks\kazaa_install.exe -> Adware.Stud : Gesäubert mit Backup
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü\Programme\SpySheriff -> Adware.SpySheriff : Gesäubert mit Backup
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü\Programme\SpySheriff\SpySheriff.lnk -> Adware.SpySheriff : Gesäubert mit Backup


::Report Ende
Dieser Beitrag wurde am 11.06.2006 um 18:55 Uhr von Nanuk editiert.
Seitenanfang Seitenende
11.06.2006, 22:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 kommst du mit dem Rechner wieder ins net ?

poste beide logs

http://virus-protect.org/silentrunner.html
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.06.2006, 23:32
Member

Themenstarter

Beiträge: 45
#13 Können vielleicht schon aber wollen nicht. Der Rechner hat keine Netzwerkkarte, nur eine ISDN Karte. Ich habe DSL. Dazu müsste ich eine Netzwerkkarte einbauen. Ein PCI Slot ist aber nicht mehr frei. Also müsste ich die ISDN Karte oder was anderes ausbauen. Soweit geht die Freundschaft auch wieder nicht. Für die Kiste habe ich schon viel zu viel Zeit verbraucht. Wie du Anfangs schon gesagt hast, formatieren wäre schneller gegangen. Soviele Pizzen kann der mir gar nicht ausgeben. Aber was solls, nun habe ich das angefangen, jetzt wird es auch zu Ende gebracht.
Meine Hoffnung für danach ist das er bzw die Familie sich künftig sorgsamer im Internet bewegt und durch diese Aktion ein Rechner weniger als Virenschleuder arbeitet. Dir schon mal an dieser Stelle ein herzliches Dankeschön, von mir und im Namen der Familie.


"Silent Runners.vbs", revision 45, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"ISDN SpeedManager" = ""C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"" ["T-Systems Nova GmbH"]
"ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}"
-> {HKLM...CLSID} = "Ctest Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"]
ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 122 seconds, including 9 seconds for message boxes)



»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Current Build Number: 2600
Internet Explorer Version: 6.0.2600.0000

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 23.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
Umonitor 23.08.2001 14:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 23.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
12.06.2006 00:59:20 S 2048 C:\WINDOWS\bootstat.dat
10.06.2006 18:17:50 RH 749 C:\WINDOWS\WindowsShell.Manifest
10.06.2006 18:18:06 H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini
10.06.2006 18:20:14 HS 67 C:\WINDOWS\Fonts\desktop.ini
10.06.2006 18:18:08 H 65 C:\WINDOWS\Offline Web Pages\desktop.ini
10.06.2006 18:19:10 RHS 243468 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_5.cab
10.06.2006 18:19:10 RHS 20293 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_6.cab
10.06.2006 18:19:10 RHS 765 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_7.cab
10.06.2006 18:21:38 H 286720 C:\WINDOWS\repair\ntuser.dat
10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\cdplayer.exe.manifest
10.06.2006 18:18:06 RH 488 C:\WINDOWS\system32\logonui.exe.manifest
10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\ncpa.cpl.manifest
10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\nwc.cpl.manifest
10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\sapi.cpl.manifest
10.06.2006 18:18:06 RH 488 C:\WINDOWS\system32\WindowsLogon.manifest
10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\wuaucpl.cpl.manifest
10.06.2006 19:51:48 H 4212 C:\WINDOWS\system32\zllictbl.dat
12.06.2006 01:27:14 H 1024 C:\WINDOWS\system32\config\default.LOG
10.06.2006 19:20:38 H 0 C:\WINDOWS\system32\config\default.tmp.LOG
12.06.2006 00:59:20 H 1024 C:\WINDOWS\system32\config\SAM.LOG
12.06.2006 01:00:32 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
12.06.2006 01:21:42 H 1024 C:\WINDOWS\system32\config\software.LOG
10.06.2006 19:20:38 H 0 C:\WINDOWS\system32\config\software.tmp.LOG
12.06.2006 01:02:44 H 1024 C:\WINDOWS\system32\config\system.LOG
10.06.2006 19:20:26 H 0 C:\WINDOWS\system32\config\system.tmp.LOG
10.06.2006 19:20:18 H 1024 C:\WINDOWS\system32\config\TempKey.LOG
10.06.2006 19:20:40 H 1024 C:\WINDOWS\system32\config\userdiff.LOG
10.06.2006 18:22:52 H 1024 C:\WINDOWS\system32\config\userdifr.LOG
04.06.2006 14:00:08 HS 62 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\desktop.ini
04.06.2006 14:00:08 HS 62 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\desktop.ini
04.06.2006 13:20:16 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\desktop.ini
04.06.2006 13:20:16 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\desktop.ini
04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2PYNSXIV\desktop.ini
04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2RQP2L2Z\desktop.ini
04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2XWN2RKB\desktop.ini
04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CR2P2VQ5\desktop.ini
04.06.2006 13:20:16 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\desktop.ini
04.06.2006 13:20:18 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\desktop.ini
04.06.2006 13:19:04 HS 187 C:\WINDOWS\system32\config\systemprofile\SendTo\desktop.ini
04.06.2006 14:00:08 HS 62 C:\WINDOWS\system32\config\systemprofile\Startmenü\desktop.ini
04.06.2006 13:22:48 HS 208 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\desktop.ini
04.06.2006 13:22:46 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
04.06.2006 13:22:46 HS 495 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\desktop.ini
04.06.2006 13:22:46 HS 303 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Eingabehilfen\desktop.ini
04.06.2006 13:22:48 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Unterhaltungsmedien\desktop.ini
04.06.2006 13:49:40 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\d95b183c-7c9d-42b1-b77b-d32183f6e2a2
04.06.2006 13:49:40 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
05.06.2006 10:41:56 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\45d297e7-23c4-4e04-9083-29f3500dbe51
05.06.2006 10:41:56 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
12.06.2006 00:59:22 H 6 C:\WINDOWS\Tasks\SA.DAT
09.06.2006 10:52:56 HS 3895 C:\WINDOWS\Temp\$_2341233.TMP
09.06.2006 10:56:26 HS 8 C:\WINDOWS\Temp\$_2341235.TMP

Checking for CPL files...
Microsoft Corporation 31.08.2001 18:38:10 68096 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 23.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 23.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 23.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 23.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 23.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 23.08.2001 14:00:00 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 23.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 23.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 23.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 23.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 23.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 23.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 23.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 23.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 31.08.2001 18:38:10 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 23.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 23.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 23.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
10.06.2006 18:21:32 HS 84 C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
10.06.2006 17:23:04 HS 62 C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
04.06.2006 13:22:46 HS 84 C:\Dokumente und Einstellungen\Mildner\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
04.06.2006 14:00:08 HS 62 C:\Dokumente und Einstellungen\Mildner\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{441253c2-a0da-4e6e-924f-0024b4d06d9e}
= C:\Programme\T-Online\T-Online_Software_5\Banking\HbDokMan.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ISDN SpeedManager "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
ToADiMon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Machine
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item temp
hkey HKLM
command temp.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item temp
hkey HKLM
command temp.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newname
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item newname25
hkey HKLM
command C:\\newname25.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item newname25
hkey HKLM
command C:\\newname25.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 12.06.2006 01:27:36
Dieser Beitrag wurde am 12.06.2006 um 01:29 Uhr von Nanuk editiert.
Seitenanfang Seitenende
12.06.2006, 16:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Gehe in die Registry

bearbeiten - suchen - temp.exe - (loesche alles, was du findest)

bearbeiten - suchen - newname25.exe - (loesche alles, was du findest)

suche/loesche:

temp.exe (ich kenne den pfad nicht)
C:\newname25.exe

C:\WINDOWS\Temp\$_2341233.TMP
C:\WINDOWS\Temp\$_2341235.TMP

PC neustarten


der Rechner ist meiner Meinung noch nicht sauber.

scanne mit dr.web
http://virus-protect.org/cureit.html
scanne mit Multi_AV
http://virus-protect.org/multiavtool.html

poste mir alle Logs, die erstellt werden

------------------------------------------------------

dann, sobald der Rechner wieder im Net ist, Onlinescans machen;:
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.06.2006, 20:52
Member

Themenstarter

Beiträge: 45
#15 Also gut, jetzt habe ich doch ne Netzwerkkarte eingebaut.
Damit kann ich problemlos ins Internet.

temp.exe war 3x in der Registry enthalten.
newname25.exe war nicht drin.

temp.exe (ich kenne den pfad nicht) -> ich auch nicht
C:\newname25.exe
habe ich nicht gefunden. Über die Suchfunktion gesucht.

$_2341234.TMP = gelöscht


Geprüfte Objekte: 125023
Infizierte Objekte gefunden: 6
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 1
Adware-Programm gefunden: 2
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 5
Umbenannte Objekte: 0
Verschobene Objekte: 1
Ignorierte Objekte: 0
Leistung:: 110 Kb/s
Dauer:: 03:12:37
Dieser Beitrag wurde am 13.06.2006 um 00:18 Uhr von Nanuk editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »