Home » Spyware & Browser Hijacker Support Forum » Spy Sheriff kann nicht gelöscht werden » Themenansicht
Spy Sheriff kann nicht gelöscht werden |
||
|---|---|---|
| #0
| ||
|
10.06.2006, 22:10
Member
Beiträge: 45 |
||
 
|
|
|
|
10.06.2006, 22:28
Ehrenmitglied
 Beiträge: 29434 |
#2
wie waere es mit formatieren ??
 ----------------------------------------------------------------- arbeite das ab und poste die logs http://board.protecus.de/t23187.htm + Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) SpySheriff in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 00:00
Member
Themenstarter Beiträge: 45 |
#3
Wenn ich gleich formatiert hätte, wäre ich schon fertig, da hast du recht.
Da ist erst mal das Log: Logfile of HijackThis v1.99.1 Scan saved at 23:56:11, on 10.06.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about: O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlsZG5lcg\command.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Windows Genuine Update Service (WGUServ) - Unknown owner - C:\WINDOWS\system32\wguserv.exe (file missing) O23 - Service: Microsoft Windows Spooler Service (Windows Spooler Service) - Unknown owner - C:\WINDOWS\services.exe (file missing) Ach ja, die Updates und das SP2 mach ich noch drauf. Und da sind die Logs vom Datfindbat: Verzeichnis von C:\WINDOWS\system32 10.06.2006 20:29 41.108 vsconfig.xml 10.06.2006 19:51 4.212 zllictbl.dat 10.06.2006 18:30 311.740 perfh009.dat 10.06.2006 18:30 40.128 perfc009.dat 10.06.2006 18:30 316.924 perfh007.dat 10.06.2006 18:30 48.354 perfc007.dat 10.06.2006 18:30 723.744 PerfStringBackup.INI 10.06.2006 18:27 90.296 FNTCACHE.DAT 10.06.2006 18:25 288 $winnt$.inf 10.06.2006 18:21 25.065 wmpscheme.xml 10.06.2006 18:21 16.832 amcompat.tlb 10.06.2006 18:21 23.392 nscompat.tlb 10.06.2006 18:18 488 logonui.exe.manifest 10.06.2006 18:18 488 WindowsLogon.manifest 10.06.2006 18:17 749 sapi.cpl.manifest 10.06.2006 18:17 749 nwc.cpl.manifest 10.06.2006 18:17 749 ncpa.cpl.manifest 10.06.2006 18:17 749 cdplayer.exe.manifest 10.06.2006 18:17 749 wuaucpl.cpl.manifest 10.06.2006 18:15 22.880 emptyregdb.dat 10.06.2006 02:21 0 ksl48.bin 09.06.2006 10:52 2.184 wpa.dbl 08.06.2006 09:06 73 i 07.06.2006 12:40 6 tick48.bin 06.06.2006 08:57 84 net.ini 05.06.2006 10:42 57.856 TFTP3256 05.06.2006 10:42 1.460 eraseme_14046.exe 05.06.2006 10:41 116 rpzokj.bat 04.06.2006 20:06 0 eraseme_31881.exe 04.06.2006 20:05 119 anuhwo.bat 04.06.2006 20:02 16.384 setup_86470.exe 04.06.2006 19:58 74 bios.rom 04.06.2006 14:10 0 h323log.txt 04.06.2006 13:22 2.951 CONFIG.NT 16.03.2006 11:34 71.448 zlcommdb.dll 16.03.2006 11:34 79.640 zlcomm.dll 16.03.2006 11:33 100.120 vsxml.dll 16.03.2006 11:33 382.744 vsutil.dll 16.03.2006 11:33 71.448 vsregexp.dll 16.03.2006 11:33 227.096 vspubapi.dll 16.03.2006 11:33 104.216 vsmonapi.dll 16.03.2006 11:33 141.080 vsinit.dll 16.03.2006 11:33 372.824 vsdatant.sys 16.03.2006 11:32 83.736 vsdata.dll 16.03.2006 11:16 54.960 vsutil_loc0407.dll Verzeichnis von C:\DOKUME~1\Mildner\LOKALE~1\Temp 10.06.2006 20:13 16.384 ~DF6CF6.tmp 09.06.2006 10:52 0 $b17a2e8.tmp 08.06.2006 09:06 16.384 Perflib_Perfdata_1018.dat 08.06.2006 09:06 16.384 Perflib_Perfdata_88c.dat 07.06.2006 13:05 0 WER5.tmp 07.06.2006 13:05 0 WER4.tmp 07.06.2006 12:31 16.384 Perflib_Perfdata_42c.dat 07.06.2006 12:17 16.384 Perflib_Perfdata_6f4.dat 07.06.2006 12:15 16.384 Perflib_Perfdata_a04.dat 07.06.2006 12:10 16.384 Perflib_Perfdata_694.dat 07.06.2006 12:10 16.384 Perflib_Perfdata_69c.dat 06.06.2006 12:26 16.384 Perflib_Perfdata_14b0.dat 06.06.2006 12:09 16.384 Perflib_Perfdata_878.dat 05.06.2006 20:06 0 WER3.tmp 05.06.2006 20:04 2.367.982 ErrorSafeScannerSetup.exe 05.06.2006 12:03 0 WER9.tmp 05.06.2006 12:02 0 WER8.tmp 05.06.2006 12:01 0 WER7.tmp 05.06.2006 12:00 0 WER6.tmp 05.06.2006 10:33 16.384 Perflib_Perfdata_778.dat 05.06.2006 08:48 16.384 Perflib_Perfdata_760.dat 04.06.2006 20:40 14.886 ms4045.tmp 04.06.2006 20:40 10.984 ms4035.tmp 04.06.2006 20:38 10.984 ms3848.tmp 04.06.2006 20:38 14.886 ms3836.tmp 04.06.2006 18:05 9.725 Microsoft Office 2003 Setup(0001).txt 04.06.2006 18:05 169.154 Microsoft Office 2003 Setup(0001)_Task(0001).txt 04.06.2006 18:03 55.331 offcln11.log 04.06.2006 13:45 188 tosup.log Verzeichnis von C:\WINDOWS 10.06.2006 20:44 6.140 svcpack.log 10.06.2006 20:43 235.052 setupapi.log 10.06.2006 20:29 0 0.log 10.06.2006 20:29 8.442 SchedLgU.Txt 10.06.2006 20:29 2.048 bootstat.dat 10.06.2006 18:58 9.874 Windows Update.log 10.06.2006 18:37 1.442 COM+.log 10.06.2006 18:29 39.414 comsetup.log 10.06.2006 18:28 538.406 setuplog.txt 10.06.2006 18:26 112.706 iis6.log 10.06.2006 18:26 20.531 ntdtcsetup.log 10.06.2006 18:26 25.720 tsoc.log 10.06.2006 18:26 4.382 imsins.log 10.06.2006 18:26 213.885 setupact.log 10.06.2006 18:21 299.552 WMSysPrx.prx 10.06.2006 18:21 1.261 OEWABLog.txt 10.06.2006 18:20 4.161 ODBCINST.INI 10.06.2006 18:17 749 WindowsShell.Manifest 10.06.2006 18:17 659 win.ini 10.06.2006 18:16 2.784 ocmsn.log 10.06.2006 18:16 30.685 ocgen.log 10.06.2006 18:16 2.075 msgsocm.log 10.06.2006 18:16 29.863 FaxSetup.log 10.06.2006 18:16 2.139 sessmgr.setup.log 10.06.2006 18:14 243 DtcInstall.log 10.06.2006 18:13 21.536 msmqinst.log 10.06.2006 17:30 50 wiaservc.log 10.06.2006 17:30 409 wiadebug.log 10.06.2006 17:29 5.098 avmcoins.log 10.06.2006 17:23 2.480 regopt.log 10.06.2006 17:23 227 system.ini 10.06.2006 02:04 218.982 setupapi.old 08.06.2006 09:04 0 keyboard1.dat 05.06.2006 12:08 42 drsmartload2.dat 05.06.2006 10:42 38.803 WHCC2.exe 05.06.2006 10:39 0 newname.dat 05.06.2006 10:39 40 teller2.chk 04.06.2006 18:19 1.891 imsins.BAK 04.06.2006 14:06 0 Sti_Trace.log 04.06.2006 13:46 219 uno.ini 04.06.2006 13:32 8.192 REGLOCS.OLD 04.06.2006 13:29 622 setuperr.log 04.06.2006 13:22 0 control.ini 04.06.2006 13:14 36 vb.ini 04.06.2006 13:14 37 vbaddin.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C93C-B5A4 Verzeichnis von C:\ 11.06.2006 00:16 0 sys.txt 11.06.2006 00:16 4.380 system.txt 11.06.2006 00:15 2.010 systemtemp.txt 11.06.2006 00:12 86.172 system32.txt 10.06.2006 20:29 385.404.928 hiberfil.sys 10.06.2006 20:29 578.813.952 pagefile.sys 10.06.2006 18:13 194 boot.ini 07.06.2006 12:15 56.676 Trelew.exe 06.06.2006 09:25 0 umqtjbg.exe 05.06.2006 20:19 0 xaouye.exe 05.06.2006 20:19 0 gbyui.exe 05.06.2006 20:19 0 dilg.exe 05.06.2006 20:19 0 ktsfd.exe 05.06.2006 20:19 0 majo.exe 05.06.2006 20:17 0 uniq 05.06.2006 11:57 418 AxLog.txt 04.06.2006 13:45 428 TO_InstallLog.txt 25.05.2006 15:18 142.508 hpfr3600.log 14.05.2005 16:18 13.290 drwtsn32.log 07.05.2004 16:26 16 win2.log 09.04.2004 13:37 36.145 dxdiag.txt REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.06.2006 00:32:52 for strings: ; 'spysheriff' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff] "DisplayIcon"="C:\\Program Files\\SpySheriff\\SpySheriff.exe" "UninstallString"="C:\\Program Files\\SpySheriff\\Uninstall.exe" [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe" [HKEY_USERS\.DEFAULT\Software\SpySheriff] [HKEY_USERS\.DEFAULT\Software\SpySheriff] "Uninstall"="C:\\Program Files\\SpySheriff" [HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security] [HKEY_USERS\.DEFAULT\Software\SpySheriff\IE Security\BlockedLocations] [HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security] [HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies] [HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed] [HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Allowed] "C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001 [HKEY_USERS\.DEFAULT\Software\SpySheriff\Process Security\Policies\Restricted] [HKEY_USERS\.DEFAULT\Software\SpySheriff\Scan] [HKEY_USERS\.DEFAULT\Software\SpySheriff\System Security] [HKEY_USERS\.DEFAULT\Software\SpySheriff\Updates] [HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Program Files\\SpySheriff\\Uninstall.exe"="Uninstall" [HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe" [HKEY_USERS\S-1-5-18\Software\SpySheriff] [HKEY_USERS\S-1-5-18\Software\SpySheriff] "Uninstall"="C:\\Program Files\\SpySheriff" [HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security] [HKEY_USERS\S-1-5-18\Software\SpySheriff\IE Security\BlockedLocations] [HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security] [HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies] [HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed] [HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Allowed] "C:\\Program Files\\SpySheriff\\SpySheriff.exe"=dword:00000001 [HKEY_USERS\S-1-5-18\Software\SpySheriff\Process Security\Policies\Restricted] [HKEY_USERS\S-1-5-18\Software\SpySheriff\Scan] [HKEY_USERS\S-1-5-18\Software\SpySheriff\System Security] [HKEY_USERS\S-1-5-18\Software\SpySheriff\Updates] ; End Of The Log... Andere schreibweise von spysheriff: (Spy Sheriff) REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.06.2006 10:24:54 for strings: ; 'spy sheriff' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Spy Sheriff] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff] "DisplayName"="Spy Sheriff" [HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit] "LastKey"="Arbeitsplatz\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\Spy Sheriff" ; End Of The Log... Dieser Beitrag wurde am 11.06.2006 um 10:29 Uhr von Nanuk editiert.
|
|
|
|
|
|
|
11.06.2006, 14:47
Ehrenmitglied
Beiträge: 29434 |
#4
Nanuk
** Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\-------------------------------------------------------------------- 1. klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK! "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" Command Service (cmdService) Microsoft Windows Spooler Service (Windows Spooler Service) Windows Genuine Update Service (WGUServ) ---------------------------------------------------------------------- 2. Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke nach jedem O.K. sc delete Command Service sc delete cmdService sc delete Microsoft Windows Spooler Service sc delete Windows Spooler Service sc delete Windows Genuine Update Service sc delete WGUServ ---------------------------------------------------------------------------------- 3. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom Avenger, was erscheint ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlsZG5lcg\command.exe (file missing)PC neustarten deinstalliere: C:\Program Files\SpySheriff ----------------------------------------------------------------------- kopiere in Registry Search a) SpySheriff b) Microsoft Windows Spooler Service c) Windows Genuine Update Service und poste die logs. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 15:46
Member
Themenstarter Beiträge: 45 |
#5
Bei Services.msc komme ich nicht weiter. Es öffnet sich "Dienste" und Eigenschaften kann ich dort nicht finden.
|
|
|
|
|
|
|
11.06.2006, 16:24
Ehrenmitglied
Beiträge: 29434 |
#6
Dienste deaktivieren
Variante 1: Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag Dienste auswählen "Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert" fuer diese Dienste: Command Service (cmdService) Microsoft Windows Spooler Service (Windows Spooler Service) Windows Genuine Update Service (WGUServ) ------------------------------------------------------------------------------- Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "..............." beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "................" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. Beispiel:..siehe unten...der nachrichtendienst.... http://virus-protect.org/windowsdienste.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 16:35
Member
Themenstarter Beiträge: 45 |
#7
Aaaaaah, jetzt habe ich verstanden, den Eintrag "Command Service" doppelklicken und bei Starttyp deaktiviert auswählen.
Danke, jetzt gehts weiter. |
|
|
|
|
|
|
11.06.2006, 16:48
Ehrenmitglied
Beiträge: 29434 |
#8
1. Punkt war das hier:
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 17:13
Member
Themenstarter Beiträge: 45 |
#9
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C93C-B5A4 Verzeichnis von C:\WINDOWS\TWlsZG5lcg Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: C93C-B5A4 Verzeichnis von C:\Program Files\SpySheriff 10.06.2006 16:09 <DIR> . 10.06.2006 16:09 <DIR> .. 06.06.2006 08:47 410.880 base.avd 06.06.2006 08:47 268 base001.avd 06.06.2006 08:47 24.360 base002.avd 06.06.2006 08:47 7.304 found.wav 06.06.2006 08:47 123.392 heur001.dll 06.06.2006 08:47 21.126 notfound.wav 06.06.2006 08:47 18.132 removed.wav 06.06.2006 08:47 100 SpySheriff.dvm 06.06.2006 08:47 416.256 SpySheriff.exe 06.06.2006 08:47 36.864 Uninstall.exe 10 Datei(en) 1.058.682 Bytes 2 Verzeichnis(se), 1.416.011.776 Bytes frei ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CURRENT_USER\Software\SNO2 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ehpsoief ******************* Script file located at: \??\C:\WINDOWS\kksqsrcp.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_CMDSERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_CMDSERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_CMDSERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\cmdService Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService Status: 0xc0000034 File C:\WINDOWS\services.exe not found! Deletion of file C:\WINDOWS\services.exe failed! Could not process line: C:\WINDOWS\services.exe Status: 0xc0000034 File C:\WINDOWS\TWlsZG5lcg\command.exe not found! Deletion of file C:\WINDOWS\TWlsZG5lcg\command.exe failed! Could not process line: C:\WINDOWS\TWlsZG5lcg\command.exe Status: 0xc0000034 File C:\WINDOWS\TWlsZG5lcg\asappsrv.dll not found! Deletion of file C:\WINDOWS\TWlsZG5lcg\asappsrv.dll failed! Could not process line: C:\WINDOWS\TWlsZG5lcg\asappsrv.dll Status: 0xc0000034 File C:\WINDOWS\system32\i deleted successfully. File C:\WINDOWS\system32\tick48.bin deleted successfully. File C:\WINDOWS\system32\net.ini deleted successfully. File C:\WINDOWS\system32\TFTP3256 deleted successfully. File C:\WINDOWS\system32\eraseme_14046.exe deleted successfully. File C:\WINDOWS\system32\rpzokj.bat deleted successfully. File C:\WINDOWS\system32\eraseme_31881.exe deleted successfully. File C:\WINDOWS\system32\anuhwo.bat deleted successfully. File C:\WINDOWS\system32\setup_86470.exe deleted successfully. File C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\$b17a2e8.tmp deleted successfully. File C:\Dokumente und Einstellungen\Mildner\Lokale Einstellungen\Temp\ErrorSafeScannerSetup.exe deleted successfully. File C:\WINDOWS\keyboard1.dat deleted successfully. File C:\WINDOWS\drsmartload2.dat deleted successfully. File C:\WINDOWS\WHCC2.exe deleted successfully. File C:\WINDOWS\newname.dat deleted successfully. File C:\WINDOWS\teller2.chk deleted successfully. File C:\Trelew.exe deleted successfully. File C:\umqtjbg.exe deleted successfully. File C:\xaouye.exe deleted successfully. File C:\gbyui.exe deleted successfully. File C:\dilg.exe deleted successfully. File C:\ktsfd.exe deleted successfully. File C:\majo.exe deleted successfully. File C:\uniq deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Spy Sheriff deleted successfully. Registry key HKEY_USERS\.DEFAULT\Software\SpySheriff deleted successfully. Registry key HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff not found! Deletion of registry key HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff failed! Status: 0xc0000034 Registry key HKEY_USERS\S-1-5-18\Software\SpySheriff not found! Deletion of registry key HKEY_USERS\S-1-5-18\Software\SpySheriff failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{645FF040-5081-101B-9F08-00AA002F954E} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Policies\{6BF52A52-394A-11D3-B153-00C04F79FAA6} failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Die drei Einträge im Hjt waren nicht mehr vorhanden. Auch gut. REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.06.2006 17:05:48 for strings: ; 'spysheriff' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe" [HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Program Files\\SpySheriff\\Uninstall.exe"="Uninstall" [HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\SpySheriff] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] "SpySheriff"="C:\\Program Files\\SpySheriff\\SpySheriff.exe" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.06.2006 17:07:33 for strings: ; 'microsoft windows spooler service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spooler Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service] "DisplayName"="Microsoft Windows Spooler Service" "Description"="Microsoft Windows Spooler Service" [HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] "f"="sc delete Microsoft Windows Spooler Service\\1" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 11.06.2006 17:08:29 for strings: ; 'windows genuine update service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-1708537768-1957994488-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU] "h"="sc delete Windows Genuine Update Service\\1" ; End Of The Log... |
|
|
|
|
|
|
11.06.2006, 17:28
Ehrenmitglied
Beiträge: 29434 |
#10
0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT41. deinstalliere den SpySheriff 2. loesche mit dem Avenger Zitat registry keys to delete:** poste das log vom Aveger ** C:\Program Files\SpySheriff -> loeschen ** bringe den ewido auf das system, scanne und poste den report http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 17:40
Member
Themenstarter Beiträge: 45 |
#11
Das Programm Spysheriff habe ich in C:\Program Files\SpySheriff 2x versucht zu deinstallieren. Nix ist passiert. Dann habe ich es einfach so gelöscht.
Rest kommt gleich. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vtoctcde ******************* Script file located at: \??\C:\WINDOWS\System32\cwdwvofb.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spooler Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spooler Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOLER_SERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spooler Service Status: 0xc0000034 Could not open file C:\Program Files\SpySheriff\base.avd for deletion Deletion of file C:\Program Files\SpySheriff\base.avd failed! Could not process line: C:\Program Files\SpySheriff\base.avd Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\base001.avd for deletion Deletion of file C:\Program Files\SpySheriff\base001.avd failed! Could not process line: C:\Program Files\SpySheriff\base001.avd Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\base002.avd for deletion Deletion of file C:\Program Files\SpySheriff\base002.avd failed! Could not process line: C:\Program Files\SpySheriff\base002.avd Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\found.wav for deletion Deletion of file C:\Program Files\SpySheriff\found.wav failed! Could not process line: C:\Program Files\SpySheriff\found.wav Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\heur001.dll for deletion Deletion of file C:\Program Files\SpySheriff\heur001.dll failed! Could not process line: C:\Program Files\SpySheriff\heur001.dll Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\notfound.wav for deletion Deletion of file C:\Program Files\SpySheriff\notfound.wav failed! Could not process line: C:\Program Files\SpySheriff\notfound.wav Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\removed.wav for deletion Deletion of file C:\Program Files\SpySheriff\removed.wav failed! Could not process line: C:\Program Files\SpySheriff\removed.wav Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\SpySheriff.dvm for deletion Deletion of file C:\Program Files\SpySheriff\SpySheriff.dvm failed! Could not process line: C:\Program Files\SpySheriff\SpySheriff.dvm Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\SpySheriff.exe for deletion Deletion of file C:\Program Files\SpySheriff\SpySheriff.exe failed! Could not process line: C:\Program Files\SpySheriff\SpySheriff.exe Status: 0xc000003a Could not open file C:\Program Files\SpySheriff\Uninstall.exe for deletion Deletion of file C:\Program Files\SpySheriff\Uninstall.exe failed! Could not process line: C:\Program Files\SpySheriff\Uninstall.exe Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. --------------------------------------------------------- ewido anti-malware - Scan Report --------------------------------------------------------- + Erstellt am: 18:53:13, 11.06.2006 + Report-Checksumme: C9B638B9 + Scanergebnis: C:\Dokumente und Einstellungen\Jürgen\Eigene Dateien\Eigene eBooks\kazaa_install.exe -> Adware.Stud : Gesäubert mit Backup C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü\Programme\SpySheriff -> Adware.SpySheriff : Gesäubert mit Backup C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü\Programme\SpySheriff\SpySheriff.lnk -> Adware.SpySheriff : Gesäubert mit Backup ::Report Ende Dieser Beitrag wurde am 11.06.2006 um 18:55 Uhr von Nanuk editiert.
|
|
|
|
|
|
|
11.06.2006, 22:06
Ehrenmitglied
Beiträge: 29434 |
#12
kommst du mit dem Rechner wieder ins net ?
poste beide logs http://virus-protect.org/silentrunner.html http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.06.2006, 23:32
Member
Themenstarter Beiträge: 45 |
#13
Können vielleicht schon aber wollen nicht. Der Rechner hat keine Netzwerkkarte, nur eine ISDN Karte. Ich habe DSL. Dazu müsste ich eine Netzwerkkarte einbauen. Ein PCI Slot ist aber nicht mehr frei. Also müsste ich die ISDN Karte oder was anderes ausbauen. Soweit geht die Freundschaft auch wieder nicht. Für die Kiste habe ich schon viel zu viel Zeit verbraucht. Wie du Anfangs schon gesagt hast, formatieren wäre schneller gegangen. Soviele Pizzen kann der mir gar nicht ausgeben. Aber was solls, nun habe ich das angefangen, jetzt wird es auch zu Ende gebracht.
Meine Hoffnung für danach ist das er bzw die Familie sich künftig sorgsamer im Internet bewegt und durch diese Aktion ein Rechner weniger als Virenschleuder arbeitet. Dir schon mal an dieser Stelle ein herzliches Dankeschön, von mir und im Namen der Familie. "Silent Runners.vbs", revision 45, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ISDN SpeedManager" = ""C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"" ["T-Systems Nova GmbH"] "ToADiMon.exe" = "C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart" ["Marmiko IT-Solutions GmbH"] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] "Zone Labs Client" = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" ["Zone Labs, LLC"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! "{54D9498B-CF93-414F-8984-8CE7FDE0D391}" = "ewido shell guard" -> {HKLM...CLSID} = "CShellExecuteHookImpl Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\shellhook.dll" ["TODO: <Firmenname>"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido\(Default) = "{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}" -> {HKLM...CLSID} = "Ctest Object" \InProcServer32\(Default) = "C:\Programme\ewido anti-malware\context.dll" ["ewido networks"] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] ewido security suite control, ewido security suite control, "C:\Programme\ewido anti-malware\ewidoctrl.exe" ["ewido networks"] ewido security suite guard, ewido security suite guard, "C:\Programme\ewido anti-malware\ewidoguard.exe" ["ewido networks"] TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 122 seconds, including 9 seconds for message boxes) »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Current Build Number: 2600 Internet Explorer Version: 6.0.2600.0000 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 23.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc Umonitor 23.08.2001 14:00:00 659456 C:\WINDOWS\SYSTEM32\rasdlg.dll winsync 23.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu Checking %System%\Drivers folder and sub-folders... Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 12.06.2006 00:59:20 S 2048 C:\WINDOWS\bootstat.dat 10.06.2006 18:17:50 RH 749 C:\WINDOWS\WindowsShell.Manifest 10.06.2006 18:18:06 H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini 10.06.2006 18:20:14 HS 67 C:\WINDOWS\Fonts\desktop.ini 10.06.2006 18:18:08 H 65 C:\WINDOWS\Offline Web Pages\desktop.ini 10.06.2006 18:19:10 RHS 243468 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_5.cab 10.06.2006 18:19:10 RHS 20293 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_6.cab 10.06.2006 18:19:10 RHS 765 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_7.cab 10.06.2006 18:21:38 H 286720 C:\WINDOWS\repair\ntuser.dat 10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\cdplayer.exe.manifest 10.06.2006 18:18:06 RH 488 C:\WINDOWS\system32\logonui.exe.manifest 10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\ncpa.cpl.manifest 10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\nwc.cpl.manifest 10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\sapi.cpl.manifest 10.06.2006 18:18:06 RH 488 C:\WINDOWS\system32\WindowsLogon.manifest 10.06.2006 18:17:50 RH 749 C:\WINDOWS\system32\wuaucpl.cpl.manifest 10.06.2006 19:51:48 H 4212 C:\WINDOWS\system32\zllictbl.dat 12.06.2006 01:27:14 H 1024 C:\WINDOWS\system32\config\default.LOG 10.06.2006 19:20:38 H 0 C:\WINDOWS\system32\config\default.tmp.LOG 12.06.2006 00:59:20 H 1024 C:\WINDOWS\system32\config\SAM.LOG 12.06.2006 01:00:32 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 12.06.2006 01:21:42 H 1024 C:\WINDOWS\system32\config\software.LOG 10.06.2006 19:20:38 H 0 C:\WINDOWS\system32\config\software.tmp.LOG 12.06.2006 01:02:44 H 1024 C:\WINDOWS\system32\config\system.LOG 10.06.2006 19:20:26 H 0 C:\WINDOWS\system32\config\system.tmp.LOG 10.06.2006 19:20:18 H 1024 C:\WINDOWS\system32\config\TempKey.LOG 10.06.2006 19:20:40 H 1024 C:\WINDOWS\system32\config\userdiff.LOG 10.06.2006 18:22:52 H 1024 C:\WINDOWS\system32\config\userdifr.LOG 04.06.2006 14:00:08 HS 62 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\desktop.ini 04.06.2006 14:00:08 HS 62 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\desktop.ini 04.06.2006 13:20:16 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\desktop.ini 04.06.2006 13:20:16 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\desktop.ini 04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2PYNSXIV\desktop.ini 04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2RQP2L2Z\desktop.ini 04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2XWN2RKB\desktop.ini 04.06.2006 13:20:18 HS 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CR2P2VQ5\desktop.ini 04.06.2006 13:20:16 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\desktop.ini 04.06.2006 13:20:18 HS 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\desktop.ini 04.06.2006 13:19:04 HS 187 C:\WINDOWS\system32\config\systemprofile\SendTo\desktop.ini 04.06.2006 14:00:08 HS 62 C:\WINDOWS\system32\config\systemprofile\Startmenü\desktop.ini 04.06.2006 13:22:48 HS 208 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\desktop.ini 04.06.2006 13:22:46 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini 04.06.2006 13:22:46 HS 495 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\desktop.ini 04.06.2006 13:22:46 HS 303 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Eingabehilfen\desktop.ini 04.06.2006 13:22:48 HS 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Unterhaltungsmedien\desktop.ini 04.06.2006 13:49:40 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\d95b183c-7c9d-42b1-b77b-d32183f6e2a2 04.06.2006 13:49:40 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred 05.06.2006 10:41:56 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\45d297e7-23c4-4e04-9083-29f3500dbe51 05.06.2006 10:41:56 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred 12.06.2006 00:59:22 H 6 C:\WINDOWS\Tasks\SA.DAT 09.06.2006 10:52:56 HS 3895 C:\WINDOWS\Temp\$_2341233.TMP 09.06.2006 10:56:26 HS 8 C:\WINDOWS\Temp\$_2341235.TMP Checking for CPL files... Microsoft Corporation 31.08.2001 18:38:10 68096 C:\WINDOWS\SYSTEM32\access.cpl Microsoft Corporation 23.08.2001 14:00:00 563712 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 23.08.2001 14:00:00 133120 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 23.08.2001 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 23.08.2001 14:00:00 295936 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 23.08.2001 14:00:00 123392 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 23.08.2001 14:00:00 66560 C:\WINDOWS\SYSTEM32\joy.cpl Microsoft Corporation 23.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 23.08.2001 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 23.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl Microsoft Corporation 23.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 23.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 23.08.2001 14:00:00 275456 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 23.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 23.08.2001 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 31.08.2001 18:38:10 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl Microsoft Corporation 23.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 23.08.2001 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl Microsoft Corporation 23.08.2001 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl Microsoft Corporation 23.08.2001 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl Microsoft Corporation 23.08.2001 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 10.06.2006 18:21:32 HS 84 C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 10.06.2006 17:23:04 HS 62 C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\desktop.ini Checking files in %USERPROFILE%\Startup folder... 04.06.2006 13:22:46 HS 84 C:\Dokumente und Einstellungen\Mildner\Startmenü\Programme\Autostart\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 04.06.2006 14:00:08 HS 62 C:\Dokumente und Einstellungen\Mildner\Anwendungsdaten\desktop.ini »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{441253c2-a0da-4e6e-924f-0024b4d06d9e} = C:\Programme\T-Online\T-Online_Software_5\Banking\HbDokMan.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] {8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} Media Band = %SystemRoot%\System32\browseui.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ISDN SpeedManager "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe" ToADiMon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart avgnt "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min Zone Labs Client C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Machine key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item temp hkey HKLM command temp.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item temp hkey HKLM command temp.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\newname key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item newname25 hkey HKLM command C:\\newname25.exe inimapping 0 key SOFTWARE\Microsoft\Windows\CurrentVersion\Run item newname25 hkey HKLM command C:\\newname25.exe inimapping 0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state system.ini 0 win.ini 0 bootini 0 services 0 startup 2 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 12.06.2006 01:27:36 Dieser Beitrag wurde am 12.06.2006 um 01:29 Uhr von Nanuk editiert.
|
|
|
|
|
|
|
12.06.2006, 16:37
Ehrenmitglied
Beiträge: 29434 |
#14
Gehe in die Registry
bearbeiten - suchen - temp.exe - (loesche alles, was du findest) bearbeiten - suchen - newname25.exe - (loesche alles, was du findest) suche/loesche: temp.exe (ich kenne den pfad nicht) C:\newname25.exe C:\WINDOWS\Temp\$_2341233.TMP C:\WINDOWS\Temp\$_2341235.TMP PC neustarten der Rechner ist meiner Meinung noch nicht sauber. scanne mit dr.web http://virus-protect.org/cureit.html scanne mit Multi_AV http://virus-protect.org/multiavtool.html poste mir alle Logs, die erstellt werden ------------------------------------------------------ dann, sobald der Rechner wieder im Net ist, Onlinescans machen;: http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
12.06.2006, 20:52
Member
Themenstarter Beiträge: 45 |
#15
Also gut, jetzt habe ich doch ne Netzwerkkarte eingebaut.
Damit kann ich problemlos ins Internet. temp.exe war 3x in der Registry enthalten. newname25.exe war nicht drin. temp.exe (ich kenne den pfad nicht) -> ich auch nicht C:\newname25.exe habe ich nicht gefunden. Über die Suchfunktion gesucht. $_2341234.TMP = gelöscht Geprüfte Objekte: 125023 Infizierte Objekte gefunden: 6 Objekte mit Modifikation gefunden: 0 Verdächtige Objekte gefunden: 1 Adware-Programm gefunden: 2 Dialer-Programm gefunden: 0 Scherz-Programm gefunden: 0 Riskware programm gefunden: 0 Hacktool-Programm gefunden: 0 Desinfizierte Objekte: 0 Gelöschte Objekte: 5 Umbenannte Objekte: 0 Verschobene Objekte: 1 Ignorierte Objekte: 0 Leistung:: 110 Kb/s Dauer:: 03:12:37 Dieser Beitrag wurde am 13.06.2006 um 00:18 Uhr von Nanuk editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Gestern bekam ich einen Rechner zum reparieren. Er war bis zum Stehkragen voll mit Malware. Als ich dachte ich wäre fertig, riskierte ich einen neugierigen Blick in Software. Da staunte ich nicht schlecht als da Spy Sheriff stand. Nun bin ich ratlos, weil ich das nicht löschen kann. Ich weiß auch nicht wo das gespeichert ist.
Der Rechner hat keinen LAN Anschluß, nur eine ISDN Karte. Die Daten könnte ich über einen USB Stick transportieren.