w32/nsag.b und w32/myzor.fk@yf kenne mich damit nicht aus

#0
24.06.2006, 17:25
...neu hier

Beiträge: 1
#1 hallo ich habe wichtige daten auf meinem pc und bin deshalb auch sehr vorsichtig, zumindest mit dem löschen ;)
ich kenne mich leider überhaupt nicht aus und habe bisher auch nur das mit dem scan verstanden :

ach ja habe da einiges vergessen:
die fehlermeldung w32/myzor.fk... kommt beim öffnen des i net explorer und ansonsten kommt eine fehlermeldung mit WINDOWS\SYSTEM32\WININET.DLL
mein internet explorer geht gar nicht mehr schließt sich entweder von selbst oder katapultiert mich auf irgendwelche seiten, deshalb benutze ich opera, was mir aber dann bei online scans schwierigkeiten macht
würde mich sehr freuen wenn ihr mir weiterhelfen könntet danke


Logfile of HijackThis v1.99.1
Scan saved at 17:17:17, on 24.06.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\Ideazon\Zboard Software\Driver\ZboardTray.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\ATI Multimedia\main\launchpd.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
C:\Programme\Ideazon\Zboard Software\Driver\Zboard.exe
C:\Programme\ATITool\ATITool.exe
C:\Programme\Java\jre1.5.0_01\bin\jucheck.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\L.I.SControlCenter\LISCC.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Do jo\Eigene Dateien\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://find.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://find.naupoint.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://find.naupoint.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00005.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SysTray] C:\Program Files\nahhpebf.exe
O4 - HKLM\..\Run: [sndraw32] C:\WINDOWS\System32\sndraw32.exe
O4 - HKLM\..\Run: [78adfa15.exe] C:\WINDOWS\System32\78adfa15.exe
O4 - HKLM\..\RunServices: [sndraw32] C:\WINDOWS\System32\sndraw32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - HKCU\..\Run: [sndraw32] C:\WINDOWS\System32\sndraw32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: .protected
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: L.I.S Control Center.LNK = C:\Programme\L.I.SControlCenter\LISCC.exe
O4 - Global Startup: .protected
O4 - Global Startup: ATITool.lnk = C:\Programme\ATITool\ATITool.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: onlineTV Global - {8D1737C4-8437-466D-9F14-8732E342A386} - C:\Programme\onlineTV Global\onlineTV.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/p23gabe.cab

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fae55a2eadf1eb5
0d6b8e66a884e50a8e5d8b0323c7d0606840b0284676c90913686bd7f1461913daf1cd5520ef42daeb8ad7fb957ad2
5436872874ea8238fc4:5d09d33a15a1722a6056772fcbfaa030


O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} (No description) - http://naupoint.com/toolbar/installer/iEBINST2.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://www.pussyharem.com/stream/mmp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - AppInit_DLLs: C:\WINDOWS\System32\tracert.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)
Dieser Beitrag wurde am 24.06.2006 um 19:21 Uhr von Grissu editiert.
Seitenanfang Seitenende
25.06.2006, 12:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Grissu

ein Rechner ohne WindowsUpdates ! und voellig verseucht !
Vernuenftiger ..und schneller waere - zu formatieren !

-------------------------------------------------------------------------
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip

4.

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >>files.txt
dir " C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\Do jo\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\Do jo\Anwendungsdaten >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 14:56
Member

Beiträge: 38
#3 Hallo Sabina,
im Januar habe ich durch Deine Hilfe den kampf mit irgendwelchen Viren und Spyware Würmern gewonnen. Dafür nochmals vielen Dank. Seit dem Habe ich regelmäßig alle updates installiert und eine Antivirsystem das ständig aktualisiert wird. Trotzdem hat sich wieder irgend ein Virus auf meinem System eingeschleust.
Wenn ich den Internet Explorer starte, dann geht sofort ein Warnfenster von Microsoft auf mit denm Hinweis:

W32.Myzor.FK@yf is a Virus that infect files with .exe.extensions. It attempts to steal passwords and private informations from the infected computer.

Type: Virus
Infected Length: 138,293 bytes
Systems Affected: Windows 95, 98, XP
Systems Not Affected:ODs,Epoc. Linus, Macintosh, Novell netware, OS/2, Unix
Techincals Details: 1. Creates files in %Windir%/directory,By deffault,this is C:/windows 2. Adds values to registry keys: HKEY_LOCAL_MNACHINE/Software/Microsoft/Windows/CurrentVersion/Run
3. Scans the hard drive for .exe files and infects any executable files. search for password/information, witch it may send to remote attacker.

Recomendations: Click OK to download officialy approved security software. Always keep your patch levels up to date.


Alles das steh t in dem Fenster und es öffnet sich automatisch eine Seite mit dieser Adresse: eprotectpage.com/


Bitte kannst Du mir noch einmal helfen? ich weiß nicht mehr was ich tun soll.

Liebe Grüße Michael p.
Seitenanfang Seitenende
12.11.2006, 15:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Micky 36

poste folgende logs, dann reinigen wir das ;)
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 15:13
Member

Beiträge: 38
#5 Hallo Sabina, Du bist ja superschnell:
Hier das Logfile von Highjack this:

Logfile of HijackThis v1.98.2
Scan saved at 15:06:12, on 12.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\QualityCodec\isamonitor.exe
D:\Programme\QualityCodec\pmsngr.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QualityCodec\isamini.exe
D:\Programme\QualityCodec\pmmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Handspring\HOTSYNC.EXE
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Rar$EX00.735\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - D:\Programme\QualityCodec\isaddon.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll (file missing)
O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - D:\Programme\QualityCodec\iesplugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Startup: HotSync Manager.LNK = D:\Programme\Handspring\HOTSYNC.EXE
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.150.115 217.237.148.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll (file missing)

den clean up habe ich auch schon durchgeführt. Soll ich die Punkte 3 bis 5 auch sofort ausführen?

Gruß Micky 36
Seitenanfang Seitenende
12.11.2006, 15:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Micky 36

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 15:30
Member

Beiträge: 38
#7 Sabina,
und weiter gehts:

combofix:

2006-11-03 13:52 -------- d-------- C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\AdobeUM
2006-10-24 10:58 4 --a------ C:\WINDOWS\todo.sys
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"avgnt"="\"D:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Device Detector"="\"C:\\Programme\\Gemeinsame Dateien\\ACD Systems\\DE\\DevDetect.exe\" -autorun"
"QuickTime Task"="\"D:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="D:\\Programme\\QualityCodec\\isamonitor.exe"
"pmsngr.exe"="D:\\Programme\\QualityCodec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"bonspells"="{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20050111-085354-869
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
backup-20050111-085354-827
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
backup-20050111-085354-379
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MichaelP\LOKALE~1\Temp\sp.dll/sp.html
backup-20050111-085354-222
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jeansandmore.de/
backup-20050111-085354-200
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
backup-20050111-085354-126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
backup-20050111-085354-859
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MichaelP\LOKALE~1\Temp\sp.dll/sp.html
backup-20040824-135434-979
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\fddxm.dll/sp.html#96676
backup-20040824-135434-279
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ytsftg.t.muxa.cc/s.php?aid=11117 (obfuscated)
backup-20040824-135434-220
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ytsftg.t.muxa.cc/s.php?aid=11117 (obfuscated)
backup-20040824-135434-209
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://ytsftg.t.muxa.cc/h.php?aid=11117 (obfuscated)
backup-20040824-135434-202
R3 - Default URLSearchHook is missing
backup-20040824-135434-200
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fddxm.dll/sp.html#96676
backup-20040824-135434-477
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ytsftg.t.muxa.cc/s.php?aid=11117 (obfuscated)
backup-20040824-135434-375
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ytsftg.t.muxa.cc/s.php?aid=11117 (obfuscated)
backup-20040824-135434-189
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\fddxm.dll/sp.html#96676
Completion time: 06-11-12 15:20:08.70
C:\ComboFix.txt ... 06-11-12 15:20

Und dann datfindbat:

Verzeichnis von C:\WINDOWS\system32

12.11.2006 15:03 2.206 wpa.dbl
29.10.2006 09:47 40.836 perfc009.dat
29.10.2006 09:47 314.508 perfh009.dat
29.10.2006 09:47 320.094 perfh007.dat
29.10.2006 09:47 49.174 perfc007.dat
29.10.2006 09:47 732.342 PerfStringBackup.INI
04.10.2006 21:03 9.639.336 MRT.exe
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 11:40 3.105 qtplugin.log
04.09.2006 07:12 1.494.016 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
16.08.2006 12:58 100.352 6to4svc.dll
11.08.2006 18:35 4.276 divxsm.tlb
11.08.2006 18:35 520.192 DivXsm.exe
11.08.2006 18:35 10.863 dsm_ja.qm
11.08.2006 18:35 15.507 dsm_de.qm
11.08.2006 18:35 15.299 dsm_fr.qm
11.08.2006 18:35 3.596.288 qt-dx331.dll
11.08.2006 18:35 421.888 pxdrv.dll
11.08.2006 18:35 109.568 pxinsi64.exe
11.08.2006 18:35 172.032 pxmas.dll
11.08.2006 18:35 372.736 px.dll
11.08.2006 18:35 61.440 pxhpinst.exe
11.08.2006 18:35 56.320 pxinsa64.exe
11.08.2006 18:35 339.968 pxwave.dll
11.08.2006 18:35 1.044.480 libdivx.dll
11.08.2006 18:35 200.704 ssldivx.dll
11.08.2006 18:31 73.728 dpl100.dll
11.08.2006 18:31 196.608 dtu100.dll
11.08.2006 18:31 53.248 dpuGUI10.dll
11.08.2006 18:31 593.920 dpuGUI11.dll
11.08.2006 18:31 344.064 dpus11.dll
11.08.2006 18:31 57.344 dpv11.dll
11.08.2006 18:31 294.912 dpu11.dll
11.08.2006 18:31 294.912 dpu10.dll
11.08.2006 18:31 778.240 divx_xx07.dll
11.08.2006 18:31 778.240 divx_xx0c.dll
11.08.2006 18:31 761.856 divx_xx11.dll
11.08.2006 18:31 620.180 DivX.dll
11.08.2006 18:31 704.512 divxdec.ax
11.08.2006 18:31 352.401 DivXMedia.ax
11.08.2006 18:31 12.288 DivXWMPExtType.dll
11.08.2006 18:31 118.784 DivXCodecUpdateChecker.exe
11.08.2006 18:31 8.523 dpude.qm
11.08.2006 18:31 3.136 dtu_de.qm


Das mit deer dem Abwarten der Datenmträgerbereinigung habe ich nicht verstanden. Hast Du alles was Du brauchst?

Gruß Micky 36

Ach so das noch:

Datentr„ger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS

12.11.2006 15:11 1.281.741 WindowsUpdate.log
12.11.2006 15:06 154.847 KB918899.log
12.11.2006 15:06 238.599 KB917344.log
12.11.2006 15:06 64.483 KB925486.log
12.11.2006 15:03 0 0.log
12.11.2006 15:02 2.048 bootstat.dat
12.11.2006 15:01 32.626 SchedLgU.Txt
12.11.2006 14:06 465 LEXSTAT.INI
01.11.2006 18:26 1.125 winamp.ini
28.10.2006 12:32 216 wiadebug.log
28.10.2006 10:31 50 wiaservc.log
27.10.2006 10:41 116 NeroDigital.ini
24.10.2006 10:58 4 todo.sys
24.10.2006 10:40 191.159 setupact.log
23.10.2006 17:29 14.795 CDPlayer.ini
15.10.2006 21:53 170.192 ntdtcsetup.log
15.10.2006 21:53 275.349 comsetup.log
15.10.2006 21:53 910.106 iis6.log


Gruß Micky 36
Dieser Beitrag wurde am 12.11.2006 um 15:33 Uhr von Micky 36 editiert.
Seitenanfang Seitenende
12.11.2006, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Micky 36

1.Schritt:
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
anwenden und poste den scanreport

danach gebe ich dir noch ein Scipt um den Rest rauszuloeschen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 16:20
Member

Beiträge: 38
#9 Sabina

hier der scanreport von trojaner-info:



(12.11.06 15:44:07) SPSeHjFix started v1.1.2
(12.11.06 15:44:07) OS: WinXP Service Pack 2 (5.1.2600)
(12.11.06 15:44:07) Language: deutsch
(12.11.06 15:44:07) Win-Path: C:\WINDOWS
(12.11.06 15:44:07) System-Path: C:\WINDOWS\system32
(12.11.06 15:44:07) Temp-Path: C:\DOKUME~1\MichaelP\LOKALE~1\Temp\
(12.11.06 15:44:11) Disinfection started
(12.11.06 15:44:11) Bad-Dll(IEP): (not found)
(12.11.06 15:44:11) Bad-Dll(IEP) in BHO: (not found)
(12.11.06 15:44:11) UBF: 5 - UBB: 2 - UBR: 3
(12.11.06 15:44:11) UBF: 5 - UBB: 2 - UBR: 3
(12.11.06 15:44:11) Bad IE-pages:
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
(12.11.06 15:44:11) Stealth-String not found
(12.11.06 15:44:11) Not infected->END


(12.11.06 15:46:50) SPSeHjFix started v1.1.2
(12.11.06 15:46:50) OS: WinXP Service Pack 2 (5.1.2600)
(12.11.06 15:46:50) Language: deutsch
(12.11.06 15:46:50) Win-Path: C:\WINDOWS
(12.11.06 15:46:50) System-Path: C:\WINDOWS\system32
(12.11.06 15:46:50) Temp-Path: C:\DOKUME~1\MichaelP\LOKALE~1\Temp\
(12.11.06 15:47:07) Disinfection started
(12.11.06 15:47:07) Bad-Dll(IEP): (not found)
(12.11.06 15:47:07) Bad-Dll(IEP) in BHO: (not found)
(12.11.06 15:47:07) UBF: 5 - UBB: 2 - UBR: 3
(12.11.06 15:47:07) UBF: 5 - UBB: 2 - UBR: 3
(12.11.06 15:47:07) Bad IE-pages: (none)
(12.11.06 15:47:07) Stealth-String not found
(12.11.06 15:47:07) Not infected->END


gruß Micky 36
Seitenanfang Seitenende
12.11.2006, 17:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Micky 36

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|bonspells
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QualityCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0d9eb558-0666-479e-868a-21b1d1a53bd1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01d8d081-0f76-4ab5-b5e4-9b23a709670e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf1ced2c-4b3f-4079-a330-864eda5a4cff}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2810fba5-55ec-4bee-8263-0e2fa5883768}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2810fba5-55ec-4bee-8263-0e2fa5883768}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{192c5b4a-3efd-40c7-9f99-c472deb8efc0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virusbursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBursters

Files to delete:
D:\WINDOWS\system32\okkmtv.dll

Folders to delete:
D:\Programme\QualityCodec
D:\Programme\VirusBursters
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

_________

fixe mit dem HijacktHis, falls es noch vorhanden ist:

Zitat

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - D:\Programme\QualityCodec\isaddon.dll
O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - D:\Programme\QualityCodec\iesplugin.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 17:36
Member

Beiträge: 38
#11 Sabina

Avenger ausgeführ und gelöscht.

Bei scanne mit smitfraudfix - gibt es ein Problem:
wenn ich das nachdem ich es entpackt habe aufmache stet dort:
Process.exe file missing !
unzipp all the archive in a folder.

dann drücken Sie eine beliebige taste. dann passiert nichts mehr was habe ich falsch gemacht?

gruß Micky 36

Okay das hat doch geklappt:
hier ist der Report:

SmitFraudFix v2.120

Scan done at 17:49:49,59, 12.11.2006
Run from C:\Dokumente und Einstellungen\MichaelP\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}"="bonspells"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

D:\Programme\SpyKiller\ Deleted
D:\Programme\WinHound\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
Dieser Beitrag wurde am 12.11.2006 um 17:58 Uhr von Micky 36 editiert.
Seitenanfang Seitenende
12.11.2006, 18:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Micky 36

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "D:\WINDOWS\Downloaded Program Files" >>files.txt
dir "D:\Programme\Common Files" >>files.txt
dir "D:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "D:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "D:\Dokumente und Einstellungen\%UserName%\Startmenü\Programme" >>files.txt
dir "D:\Program Files" >>files.txt
dir "D:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "D:\WINDOWS\Temp" >>files.txt
dir "D:\Temp" >>files.txt
dir "D:\Programme" >>files.txt
dir "D:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "D:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "D:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "D:\Programme\Gemeinsame Dateien" >>files.txt
dir "D:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.11.2006, 18:14
Member

Beiträge: 38
#13 Sabina,

unter Start -> Alle Programme -> Zubehör -> Editor lässt sich nichts öffnen

Was nun?


Gruß micky 36
Seitenanfang Seitenende
12.11.2006, 19:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 nichts oeffnen ???? ;)
nun, poste dieses log
http://virus-protect.org/winpfind.html

ich erstelle inzwischen eine zip-Datei und lade sie auf meinen server.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.11.2006, 00:25
Member

Beiträge: 38
#15 Sabina,

hier ist der Logfile:

Checking %ProgramFilesDir% folder...
UPX! 27.06.2004 10:26:48 784903 D:\Programme\stinger.exe (Network Associates Inc.)

Checking %WinDir% folder...

Checking %System% folder...
PEC2 18.08.2001 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc ()
PEC2 11.08.2006 18:31:48 620180 C:\WINDOWS\SYSTEM32\DivX.dll (DivX, Inc.)
PECompact2 11.08.2006 18:31:48 620180 C:\WINDOWS\SYSTEM32\DivX.dll (DivX, Inc.)
WSUD 04.06.2004 21:00:48 HS 2814 C:\WINDOWS\SYSTEM32\galga.dat ()
PTech 19.06.2006 15:19:42 571184 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll (Microsoft Corporation)
PECompact2 04.10.2006 21:03:46 9639336 C:\WINDOWS\SYSTEM32\MRT.exe (Microsoft Corporation)
aspack 04.10.2006 21:03:46 9639336 C:\WINDOWS\SYSTEM32\MRT.exe (Microsoft Corporation)
WSUD 04.08.2004 08:58:06 1228800 C:\WINDOWS\SYSTEM32\ntbackup.exe (Microsoft Corporation)
aspack 04.08.2004 08:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll (Microsoft Corporation)
WSUD 04.08.2004 08:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
Umonitor 04.08.2004 08:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll (Microsoft Corporation)
UPX! 27.04.2006 16:49:30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe (S!Ri)
UPX! 29.08.2006 18:43:54 135168 C:\WINDOWS\SYSTEM32\swreg.exe (SteelWerX)
UPX! 09.01.2006 09:36:06 40960 C:\WINDOWS\SYSTEM32\swsc.exe ()
winsync 18.08.2001 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu ()
PTech 19.06.2006 15:19:26 304944 C:\WINDOWS\SYSTEM32\WgaTray.exe (Microsoft Corporation)

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 06:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys (Smart Link)

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
13.11.2006 00:14:30 S 2048 C:\WINDOWS\bootstat.dat ()
13.11.2006 00:15:54 H 1024 C:\WINDOWS\system32\config\default.LOG ()
13.11.2006 00:14:32 H 1024 C:\WINDOWS\system32\config\SAM.LOG ()
13.11.2006 00:14:54 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG ()
13.11.2006 00:18:36 H 1024 C:\WINDOWS\system32\config\software.LOG ()
13.11.2006 00:15:56 H 1024 C:\WINDOWS\system32\config\system.LOG ()
15.10.2006 21:52:08 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG ()
17.10.2006 16:14:36 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\0f562bd3-2f8d-429d-bfa9-d9ada6fbaf3b ()
17.10.2006 16:14:36 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred ()
01.11.2006 00:09:16 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\a17696c2-da66-40fc-a824-5402f685fac2 ()
01.11.2006 00:09:16 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred ()
18.10.2006 17:05:06 H 40603 C:\WINDOWS\system32\spool\drivers\w32x86\3\lxbcma.GID ()
13.11.2006 00:14:34 H 6 C:\WINDOWS\Tasks\SA.DAT ()

Checking for CPL files...
04.08.2004 08:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl (Microsoft Corporation)
04.08.2004 08:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl (Microsoft Corporation)
04.08.2004 08:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl (Microsoft Corporation)
04.08.2004 08:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl (Microsoft Corporation)
04.08.2004 08:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl (Microsoft Corporation)
04.08.2004 08:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl (Microsoft Corporation)
04.08.2004 08:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl (Microsoft Corporation)
04.08.2004 08:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl (Microsoft Corporation)
04.08.2004 08:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl (Microsoft Corporation)
04.08.2004 08:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl (Microsoft Corporation)
18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl (Microsoft Corporation)
04.08.2004 08:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl (Microsoft Corporation)
18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl (Microsoft Corporation)
04.08.2004 08:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl (Microsoft Corporation)
04.08.2004 08:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation)
17.11.2003 10:33:00 73728 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl (NVIDIA Corporation)
18.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl (Microsoft Corporation)
04.08.2004 08:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl (Microsoft Corporation)
04.08.2004 08:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl (Microsoft Corporation)
29.12.2002 00:14:38 81920 C:\WINDOWS\SYSTEM32\Startup.cpl ()
04.08.2004 08:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl (Microsoft Corporation)
18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl (Microsoft Corporation)
04.08.2004 08:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl (Microsoft Corporation)
04.08.2004 08:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl (Microsoft Corporation)
26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl (Microsoft Corporation)
18.08.2001 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl (Microsoft Corporation)
18.08.2001 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl (Microsoft Corporation)
18.08.2001 13:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl (Microsoft Corporation)
18.08.2001 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl (Microsoft Corporation)
26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl (Microsoft Corporation)

Checking for Downloaded Program Files...
{00B71CFB-6864-4346-A978-C0A14556272C} - Checkers Class - CodeBase = http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
{2917297F-F02B-4B9D-81DF-494B6333150B} - Minesweeper Flags Class - CodeBase = http://messenger.zone.msn.com/binary/MineSweeper.cab
{33564D57-0000-0010-8000-00AA00389B71} - - CodeBase = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
{33564D57-9980-0010-8000-00AA00389B71} - - CodeBase = http://codecs.microsoft.com/codecs/i386/wmv9dmo.cab
{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} - Office Update Installation Engine - CodeBase = http://office.microsoft.com/officeupdate/content/opuc.cab
{4C39376E-FA9D-4349-BACC-D305C1750EF3} - EPUImageControl Class - CodeBase = http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
{88D969C0-F192-11D4-A65F-0040963251E5} - XML DOM Document 4.0 - CodeBase = https://homepage.t-online.de/app/static/activex/msxml4.cab
{8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - MessengerStatsClient Class - CodeBase = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
{9F1C11AA-197B-4942-BA54-47A8489BB47F} - - CodeBase = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38023.5321296296
{D27CDB6E-AE6D-11CF-96B8-444553540000} - - CodeBase = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
DirectAnimation Java Classes - - CodeBase = file://C:\WINDOWS\Java\classes\dajava.cab
Microsoft XML Parser for Java - - CodeBase = file://C:\WINDOWS\Java\classes\xmldso.cab

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
06.02.2004 21:37:10 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()
05.05.2006 11:05:42 586 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HotSync Manager.lnk ()

Checking files in %ALLUSERSPROFILE%\Application Data folder...
07.02.2006 21:14:14 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html ()
01.01.2002 02:10:50 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini ()
23.05.2006 18:58:34 1763 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache ()

Checking files in %USERPROFILE%\Startup folder...
06.02.2004 21:37:10 HS 84 C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Autostart\desktop.ini ()
11.08.2006 11:24:32 578 C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Autostart\HotSync Manager.LNK ()

Checking files in %USERPROFILE%\Application Data folder...
01.01.2002 02:10:50 HS 62 C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\desktop.ini ()

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

>>> Internet Explorer Settings <<<


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Default_Page_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
\\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - C:\windows\system32\blank.htm

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
\\Start Page - http://www.framic-music.com/42206/42201.html
\\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
\\Local Page - C:\windows\system32\blank.htm

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
\\CustomizeSearch - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
\\SearchAssistant - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
\\{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Microsoft Url Sucheingriff = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)

>>> BHO's <<<
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
\{22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - eBay Toolbar Helper = D:\Programme\eBay\eBay Toolbar2\eBayTB.dll ()

>>> Internet Explorer Bars, Toolbars and Extensions <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
\{4D5C8C25-D075-11d0-B416-00C04FB90376} - &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
\{30D02401-6A81-11D0-8274-00C04FD5AE38} - Search Band = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\{32683183-48a0-441b-a342-7c2a440a9478} - = ()
\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} - File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\{EFA24E61-B078-11D0-89E4-00C04FC9E26E} - Favorites Band = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)
\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} - History Band = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)
\{EFA24E64-B078-11D0-89E4-00C04FC9E26E} - Explorer-Band = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
\\{92085AD4-F48A-450D-BD93-B28CC7DF67CE} - eBay Toolbar = D:\Programme\eBay\eBay Toolbar2\eBayTB.dll ()
\\{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - MSN Toolbar = D:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll ()
\\{bf1ced2c-4b3f-4079-a330-864eda5a4cff} - = ()

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
\ShellBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\ShellBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\WebBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\WebBrowser\\{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - MSN Toolbar = D:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll ()
\WebBrowser\\{BF1CED2C-4B3F-4079-A330-864EDA5A4CFF} - = ()

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\CmdMapping]
\\NEXTID - 8195
\\{92780B25-18CC-41C8-B9BE-3C9C571A8263} - 8193 =
\\{FB5F1910-F110-11d2-BB9E-00C04F795683} - 8194 = Windows Messenger

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
\{92780B25-18CC-41C8-B9BE-3C9C571A8263} - ButtonText: Recherchieren =
\{FB5F1910-F110-11d2-BB9E-00C04F795683} - ButtonText: Messenger = D:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)

>>> Approved Shell Extensions (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
\\{42071714-76d4-11d1-8b24-00a0c9068ff3} - CPL-Erweiterung für Anzeigeverschiebung = deskpan.dll ()
\\{764BF0E1-F219-11ce-972D-00AA00A14F56} - Shellerweiterungen für die Dateikomprimierung = ()
\\{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Kontextmenü für die Verschlüsselung = ()
\\{88895560-9AA2-1069-930E-00AA0030EBC8} - Erweiterung für HyperTerminal-Icons = C:\WINDOWS\System32\hticons.dll (Hilgraeve, Inc.)
\\{0DF44EAA-FF21-4412-828E-260A8728E7F1} - Taskleiste und Startmenü = ()
\\{32683183-48a0-441b-a342-7c2a440a9478} - Media Band = ()
\\{7A9D77BD-5403-11d2-8785-2E0420524153} - Benutzerkonten = ()
\\{B41DB860-8EE4-11D2-9906-E49FADC173CA} - WinRAR shell extension = D:\Programme\WinRAR\rarext.dll ()
\\{1CDB2949-8F65-4355-8456-263E7C208A5D} - Desktop Explorer = C:\WINDOWS\system32\nvshell.dll (NVIDIA Corporation)
\\{1E9B04FB-F9E5-4718-997B-B8DA88302A47} - Desktop Explorer Menu = C:\WINDOWS\system32\nvshell.dll (NVIDIA Corporation)
\\{1E9B04FB-F9E5-4718-997B-B8DA88302A48} - nView Desktop Context Menu = C:\WINDOWS\system32\nvshell.dll (NVIDIA Corporation)
\\{950FF917-7A57-46BC-8017-59D9BF474000} - Shell Extension for CDRW = D:\Programme\Ahead\InCD\incdshx.dll (Ahead Software AG)
\\{92085AD4-F48A-450D-BD93-B28CC7DF67CE} - eBay Toolbar = D:\Programme\eBay\eBay Toolbar2\eBayTB.dll ()
\\{45AC2688-0253-4ED8-97DE-B5370FA7D48A} - Shell Extension for Malware scanning = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

>>> Context Menu Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers]
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll ()

[HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers]

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\shellex\ContextMenuHandlers]
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll ()

[HKEY_LOCAL_MACHINE\Software\Classes\Directory\BackGround\shellex\ContextMenuHandlers]
\InCDMenu - {950FF917-7A57-46BC-8017-59D9BF474000} = D:\Programme\Ahead\InCD\incdshx.dll (Ahead Software AG)
\nView - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} = C:\WINDOWS\system32\nvshell.dll (NVIDIA Corporation)

[HKEY_LOCAL_MACHINE\Software\Classes\Folder\shellex\ContextMenuHandlers]
\Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = D:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH)
\WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = D:\Programme\WinRAR\rarext.dll ()

>>> Column Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]

>>> Registry Run Keys <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
NvCplDaemon - RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll ()
avgnt - D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH)
Device Detector - C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe ()
QuickTime Task - D:\Programme\QuickTime\qttask.exe ()

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

>>> Startup Links <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Startup]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini ()
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HotSync Manager.lnk - D:\Programme\Handspring\HOTSYNC.EXE (Palm Computing, Inc.)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup]
C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Autostart\desktop.ini ()
C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Autostart\HotSync Manager.LNK - D:\Programme\Handspring\HOTSYNC.EXE (Palm Computing, Inc.)

>>> MSConfig Disabled Items <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[All Users Startup Folder Disabled Items]

[Current User Startup Folder Disabled Items]

>>> User Agent Post Platform <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
\\SV1 -

>>> AppInit Dll's <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs]

>>> Image File Execution Options <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
\Your Image File Name Here without a path - Debugger = ntsd -d

>>> Shell Service Object Delay Load <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
\\PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation)
\\WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll (Microsoft Corporation)
\\SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll (Microsoft Corporation)

>>> Shell Execute Hooks <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
\\{AEB6717E-7E19-11d0-97EE-00C04FD91972} - URL Exec Hook = shell32.dll (Microsoft Corporation)

>>> Shared Task Scheduler <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
\\{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)
\\{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon = %SystemRoot%\System32\browseui.dll (Microsoft Corporation)

>>> Winlogon <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
\\UserInit = C:\WINDOWS\system32\userinit.exe,
\\Shell = Explorer.exe
\\System =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
\crypt32chain - crypt32.dll = (Microsoft Corporation)
\cryptnet - cryptnet.dll = (Microsoft Corporation)
\cscdll - cscdll.dll = (Microsoft Corporation)
\ScCertProp - wlnotify.dll = (Microsoft Corporation)
\Schedule - wlnotify.dll = (Microsoft Corporation)
\sclgntfy - sclgntfy.dll = (Microsoft Corporation)
\SensLogn - WlNotify.dll = (Microsoft Corporation)
\termsrv - wlnotify.dll = (Microsoft Corporation)
\WgaLogon - WgaLogon.dll = (Microsoft Corporation)
\wlballoon - wlnotify.dll = (Microsoft Corporation)

>>> DNS Name Servers <<<
{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE} - 192.168.0.1 (VIA PCI 10/100Mb Fast Ethernetadapter)
{E386FA33-FA68-4507-AD01-8710BB191EF9} - (1394-Netzwerkadapter)

>>> All Winsock2 Catalogs <<<
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
\000000000001\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
\000000000002\\LibraryPath - %SystemRoot%\System32\winrnr.dll (Microsoft Corporation)
\000000000003\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]
\000000000001\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000002\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000003\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000004\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000005\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation)
\000000000006\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000007\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000008\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000009\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000010\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000011\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000012\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000013\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000014\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000015\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000016\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)
\000000000017\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation)

>>> Protocol Handlers (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler]
\ipp - ()
\msdaipp - ()

>>> Protocol Filters (Non-Microsoft Only) <<<
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

>>> Selected AddOn's <<<

Gruß Micky 36
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: