Hartnäckiges Virenproblem (Ad.Clicker?)

#1 Hallo,

ich habe seit ein paar Tagen leider ein ziemliches Problem mit meinem Rechner. Es begann damit, daß mein Virenscanner einen Angriff von "Ad.Clicker" meldete. Meine Firewall regt sich dann bei jedem Systemstart auf, daß die explorer.exe eine exe-Datei im windows/system32 Verzeichnis starten möchte. Der Name der Datei scheint ständig zu wechseln und ich bekomme sie nicht gelöscht. Sämtliche Versuche, der Sache Herr zu werden sind gescheitert, was auch daran liegt, daß sich die Prozesse (explorer, virenscanner, auch die datfindbat) anscheinend einfach aufhängen, wenn sie auf die infizierte Datei treffen. Ich weiß gar nicht mehr, was ich noch machen soll und ich hoffe, Ihr könnt mir irgendwie helfen, so daß ich meinen Rechner nicht neu installieren muß. Wie gesagt, die datfindbat geht nicht, ich kann Euch nur posten, was HijackThis ausgespuckt hat. Oder habt ihr eine Idee, wie ich datfindbat dennoch zum Laufen bekommen kann?

Edit: Noch ein kurzer Nachtrag, ich habe hier im Forum und auch sonst im Internet schon einiges auch in Bezug auf Ad.Clicker gelesen und es wurde oft angeraten, den Rechner im abgesicherten Modus zu starten und dann den Virenscanner laufen zu lassen. Interessanterweise geht das seit der Infektion meines Rechners aber auch nicht mehr, beim Booten in den abgesicherten Modus friert der Rechner ein und startet dann nach ein paar Minuten neu

Viele Grüße,
Joshi

P.S.: Sorry wegen meines Account-Namens, hab erst zu spät gemerkt, daß "joschi" schon an einen Mod vergeben ist, sonst hätte ich mir was anderes ausgedacht


Hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:21:51, on 06.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\F-Prot\F-StopW.EXE
C:\WINNT\system32\sstray.exe
C:\Programme\ASUS Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\MOUSEI~1\MIProHst.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\internat.exe
H:\Temp\Rar$EX02.281\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MImpPro] C:\PROGRA~1\MOUSEI~1\MIProHst.exe
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Microsoft sddcE Contol] taskmnegr.exe
O4 - HKLM\..\RunServices: [Microsoft sddcE Contol] taskmnegr.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCABC1A-8A5C-41F4-9C3E-E8E73D56C39E}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3D38DF9-1165-499F-8BC0-AAEFC882FEA3}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1264169-C250-4673-AD5E-D15B78CB5A83}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

#2 die Internetverbindung wird in die Ukraine umgeleitet... einen backdoor kann ich im log auch schon sehen.
Willst du formatieren oder reinigen ???

http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 4 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

schonmal vielen Dank für Deine Hilfe.

Zitat

Sabina postete
die Internetverbindung wird in die Ukraine umgeleitet... einen backdoor kann ich im log auch schon sehen.
Willst du formatieren oder reinigen ???

Am liebsten wäre mir das reinigen, wenn das noch irgendwie möglich ist, da ich gerade mit Arbeit zugeschüttet bin und wenig Zeit für eine Neuinstallation habe.

Zitat

Sabina postete
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei

Das habe ich gemacht, dabei ergibt sich folgendes Problem. Sobald der Scanner im system32 Verzeichnis ankommt, rastet mein Virenscanner aus und meldet hintereinander weg verschiedene Dateien, die mit AdClicker.FH und AdClicker.FG infiziert sein sollen. Nach ca 10 Dateien hängt sich Blacklight dann auf. Die Dateien, die im log sind, sind (bis auf die erste) auch die, die der Virenscanner meldet. Ich habe das Gefühl, daß sobald man auf die Virendatei zugreift, diese umbenannt wird und das zum Absturz führt. Hier das Teillog von Backlight:

07/08/06 09:32:54 [Info]: BlackLight Engine 1.0.42 initialized
07/08/06 09:32:54 [Info]: OS: 5.0 build 2195 (Service Pack 4)
07/08/06 09:32:55 [Note]: 7019 4
07/08/06 09:32:55 [Note]: 7005 0
07/08/06 09:32:57 [Note]: 7006 0
07/08/06 09:32:57 [Note]: 7011 1280
07/08/06 09:32:58 [Note]: 7026 0
07/08/06 09:32:58 [Note]: 7026 0
07/08/06 09:33:02 [Note]: FSRAW library version 1.7.1019
07/08/06 09:34:37 [Info]: Hidden file: c:\WINNT\system32\csgty.exe
07/08/06 09:34:37 [Note]: 7002 32
07/08/06 09:34:37 [Note]: 7003 1
07/08/06 09:34:37 [Note]: 10002 1
07/08/06 09:34:42 [Info]: Hidden file: c:\WINNT\system32\{680F4CEE-A082-4FD9-A0CC-B5A8DF67AB22}.exe
07/08/06 09:34:42 [Note]: 7002 5
07/08/06 09:34:42 [Note]: 7003 1
07/08/06 09:34:42 [Note]: 10002 1
07/08/06 09:34:43 [Info]: Hidden file: c:\WINNT\system32\{C453403F-65F0-414A-A890-245BF8B8F096}.exe
07/08/06 09:34:43 [Note]: 7002 5
07/08/06 09:34:43 [Note]: 7003 1
07/08/06 09:34:43 [Note]: 10002 1
07/08/06 09:34:43 [Info]: Hidden file: c:\WINNT\system32\{0E40090A-3B7B-4CE6-8767-F1755F287A81}.exe
07/08/06 09:34:43 [Note]: 7002 5
07/08/06 09:34:43 [Note]: 7003 1
07/08/06 09:34:43 [Note]: 10002 1
07/08/06 09:34:43 [Info]: Hidden file: c:\WINNT\system32\{0E557C44-A2AF-4ADF-B4F4-A24C3B752526}.exe
07/08/06 09:34:43 [Note]: 7002 5
07/08/06 09:34:43 [Note]: 7003 1
07/08/06 09:34:43 [Note]: 10002 1
07/08/06 09:34:43 [Info]: Hidden file: c:\WINNT\system32\{104235AF-10D2-4EFD-AD2D-422B3DB9FE33}.exe
07/08/06 09:34:43 [Note]: 7002 5
07/08/06 09:34:43 [Note]: 7003 1
07/08/06 09:34:43 [Note]: 10002 1
07/08/06 09:34:43 [Info]: Hidden file: c:\WINNT\system32\{129281BA-D613-4C13-93B3-34B0B39EF877}.exe
07/08/06 09:34:43 [Note]: 7002 5
07/08/06 09:34:43 [Note]: 7003 1
07/08/06 09:34:43 [Note]: 10002 1
07/08/06 09:34:43 [Info]: Hidden file: c:\WINNT\system32\{3AA5E8E8-6222-4AAC-9F29-601CF85E8146}.exe
07/08/06 09:34:43 [Note]: 7002 5
07/08/06 09:34:43 [Note]: 7003 1
07/08/06 09:34:43 [Note]: 10002 1
07/08/06 09:34:43 [Info]: Hidden file: c:\WINNT\system32\{3D63DB9B-D058-400F-B59C-1A9130AF50F8}.exe
07/08/06 09:34:44 [Note]: 7002 5
07/08/06 09:34:44 [Note]: 7003 1
07/08/06 09:34:44 [Note]: 10002 1
07/08/06 09:34:44 [Info]: Hidden file: c:\WINNT\system32\{63CD4EF1-DC6C-447A-9648-E931FE6AFECF}.exe
07/08/06 09:34:44 [Note]: 7002 5
07/08/06 09:34:44 [Note]: 7003 1
07/08/06 09:34:44 [Note]: 10002 1
07/08/06 09:34:44 [Info]: Hidden file: c:\WINNT\system32\{671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe
07/08/06 09:34:44 [Note]: 10002 1
07/08/06 09:34:45 [Info]: Hidden file: c:\WINNT\system32\{6BD11F14-2032-4DEE-AAE5-FA6BB1F1BDC9}.exe
07/08/06 09:34:45 [Note]: 7002 5
07/08/06 09:34:45 [Note]: 7003 1
07/08/06 09:34:45 [Note]: 10002 1
07/08/06 09:34:45 [Info]: Hidden file: c:\WINNT\system32\{8296D629-4E14-422C-B559-86D364232CFA}.exe
07/08/06 09:34:45 [Note]: 7002 5
07/08/06 09:34:45 [Note]: 7003 1
07/08/06 09:34:45 [Note]: 10002 1
07/08/06 09:34:45 [Info]: Hidden file: c:\WINNT\system32\{AADED05F-57D3-411E-AC05-BCE3C43243B6}.exe
07/08/06 09:34:45 [Note]: 7002 5
07/08/06 09:34:45 [Note]: 7003 1
07/08/06 09:34:45 [Note]: 10002 1
07/08/06 09:34:45 [Info]: Hidden file: c:\WINNT\system32\{B68AE025-AC3E-49DD-9C90-50344E262370}.exe
07/08/06 09:34:45 [Note]: 7002 5
07/08/06 09:34:45 [Note]: 7003 1
07/08/06 09:34:45 [Note]: 10002 1
07/08/06 09:34:45 [Info]: Hidden file: c:\WINNT\system32\{BA68FDF8-A904-43C9-93E1-BC554FD913AA}.exe
07/08/06 09:34:45 [Note]: 7002 5
07/08/06 09:34:45 [Note]: 7003 1
07/08/06 09:34:45 [Note]: 10002 1
07/08/06 09:34:45 [Info]: Hidden file: c:\WINNT\system32\{BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe
07/08/06 09:34:45 [Note]: 10002 1
07/08/06 09:34:45 [Info]: Hidden file: c:\WINNT\system32\{C5CC0D55-24D2-4C38-B52A-1528AB738C89}.exe
07/08/06 09:34:45 [Note]: 7002 5
07/08/06 09:34:45 [Note]: 7003 1
07/08/06 09:34:45 [Note]: 10002 1
07/08/06 09:34:46 [Info]: Hidden file: c:\WINNT\system32\{C8DA093E-6C80-41C6-A493-BBCF52BFF7F8}.exe
07/08/06 09:34:46 [Note]: 7002 5
07/08/06 09:34:46 [Note]: 7003 1
07/08/06 09:34:46 [Note]: 10002 1
07/08/06 09:34:46 [Info]: Hidden file: c:\WINNT\system32\{D59077C3-F48D-48B1-A0A3-0BF1C1FC2368}.exe
07/08/06 09:34:46 [Note]: 7002 5
07/08/06 09:34:46 [Note]: 7003 1
07/08/06 09:34:46 [Note]: 10002 1
07/08/06 09:34:46 [Info]: Hidden file: c:\WINNT\system32\{E5BF39BD-BC2B-47EB-8111-0B504232D80F}.exe
07/08/06 09:34:46 [Note]: 7002 5
07/08/06 09:34:46 [Note]: 7003 1
07/08/06 09:34:46 [Note]: 10002 1
07/08/06 09:34:46 [Info]: Hidden file: c:\WINNT\system32\{EC84F0B1-11ED-4FAD-8512-37B33600DD6D}.exe
07/08/06 09:34:46 [Note]: 7002 5
07/08/06 09:34:46 [Note]: 7003 1
07/08/06 09:34:46 [Note]: 10002 1
07/08/06 09:34:46 [Info]: Hidden file: c:\WINNT\system32\{EE73C870-25DA-4682-AE93-F03735A048B3}.exe
07/08/06 09:34:46 [Note]: 7002 5
07/08/06 09:34:46 [Note]: 7003 1
07/08/06 09:34:46 [Note]: 10002 1

Zitat

Sabina postete
folgen den Anweisungen unter
http://virus-protect.org/cleanup.html

Das habe ich gemacht.

Zitat

Sabina postete
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 4 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)

Das funktioniert leider nicht, da der Task abstürzt, sobald er das system32-Verzeichnis listen will.

Noch ein Nachtrag, vielleicht hilft das ja: Ich hab einen File Monitor laufen lassen und laut diesem greift die csrss.exe sekündlich auf die C:\winnt\system32\csgty.exe zu. Direkt zugreifen kann ich auf die Datei nicht, der Virenscanner stürzt bei ihr ab und hochladen oder ähnliches geht auch nicht.

Ist mir noch zu helfen *hoff*?

Lieber Gruß,
joshi

#4 Information: neue Variante: Ad.Clicker
http://virus-protect.org/artikel/spyware/wareout_neu.html
--------------------------------------------------------------------------------
0.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten.

1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [Microsoft sddcE Contol] taskmnegr.exe
O4 - HKLM\..\RunServices: [Microsoft sddcE Contol] taskmnegr.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"

O17 - HKLM\System\CCS\Services\Tcpip\..\{BFCABC1A-8A5C-41F4-9C3E-E8E73D56C39E}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3D38DF9-1165-499F-8BC0-AAEFC882FEA3}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1264169-C250-4673-AD5E-D15B78CB5A83}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14

PC neustarten

2.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hiewr posten

3.
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html

4.
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

5.
versuche es noch mal mit der datfindbat (ohne Internetverbindung, am besten im abgesicherten Modus)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 das brauche ich auch noch:

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

KillAndClean

in edit und klicke "Ok".
Notepad wird sich oeffnen

-------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\KillAndClean" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#6 Huhu Sabina,

so, ich hoffe, ich habe alles zusammen

Zitat

Sabina postete
1.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Hab ich gemacht, hier das neue HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 11:49:02, on 08.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\F-Prot\F-StopW.EXE
C:\WINNT\system32\sstray.exe
C:\Programme\ASUS Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\MOUSEI~1\MIProHst.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\dokumente und einstellungen\marcbaxxter\desktop\regprot\regprot.exe
C:\WINNT\system32\internat.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Nebula\DigiTV\DigiTV.exe
C:\Dokumente und Einstellungen\marcbaxxter\Desktop\RR\RootkitRevealer.exe
C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\IVSDXPPI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\PROGRA~1\EDITPL~1\EDITPLUS.EXE
C:\Dokumente und Einstellungen\marcbaxxter\Desktop\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MImpPro] C:\PROGRA~1\MOUSEI~1\MIProHst.exe
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RegProt] c:\dokumente und einstellungen\marcbaxxter\desktop\regprot\regprot.exe /start
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: DigiTV.lnk = C:\Programme\Nebula\DigiTV\DigiTV.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\marcbaxxter\Anwendungsdaten\RssBandit\iecontext_subscribefeed.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IVSDXPPI - Sysinternals - www.sysinternals.com - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\IVSDXPPI.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PLHGM - Sysinternals - www.sysinternals.com - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\PLHGM.exe
O23 - Service: QFPKBMPEO - Sysinternals - www.sysinternals.com - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\QFPKBMPEO.exe
O23 - Service: VBTHFPHEIL - Sysinternals - www.sysinternals.com - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\VBTHFPHEIL.exe

Zitat

Sabina postete
2.
Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hiewr posten

Ist durchgelaufen, hier der Report:


Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9397E168DFA4-58DB-CB94-4DDC-3939D176{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6CA4B6623795-D2FA-9924-CE0F-6D6C654C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FCEFA6EF139E-8469-A744-C6CD-1FE4DC36{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9CDB1F1BB6AF-5EAA-EED4-2302-41F11DB6{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}17590DA03AE3-3A59-69E4-C4CF-45E59A17{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5C4FC27EC358-8E2A-4F44-3B8C-A385CBAB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}22BA76FD8A5B-CC0A-9DF4-280A-EEC4F086{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}625257B3C42A-4F4B-FDA4-FA2A-44C755E0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}778FE93B0B43-3B39-31C4-316D-AB182921{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AA319DF455CB-1E39-9C34-409A-8FDF86AB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}18A782F5571F-7678-6EC4-B7B3-A09004E0{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8F7FFB25FCBB-394A-6C14-08C6-E390AD8C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6B34234C3ECB-50CA-E114-3D75-F50DEDAA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8632CF1C1FB0-3A0A-1B84-D84F-3C77095D{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}073262E44305-09C9-DD94-E3CA-520EA86B{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F08D232405B0-1118-BE74-B2CB-DB93FB5E{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}33EF9BD3B224-D2DA-DFE4-2D01-FA532401{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3B840A53730F-39EA-2864-AD52-078C37EE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}6418E58FC106-92F9-CAA4-2226-8E8E5AA3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}690F8B8FB542-098A-A414-0F56-F304354C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D6DD00633B73-2158-DAF4-DE11-1B0F48CE{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}8F05FA0319A1-C95B-F004-850D-B9BD36D3{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}AFC232463D68-955B-C224-41E4-926D6928{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}98C837BA8251-A25B-83C4-2D42-55D0CC5C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\qcgmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
"dmgcq.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINNT\System32\CSYWJ.EXE
* csr.exe C:\WINNT\System32\{671D9~1.EXE

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINNT\SYSTEM32\CSYWJ.EXE 51.272 2006-07-05
Other suspects
Directory of C:\WINNT\system32
{C5CC0D55-24D2-4C38-B52A-1528AB738C89}.exe
{8296D629-4E14-422C-B559-86D364232CFA}.exe
{3D63DB9B-D058-400F-B59C-1A9130AF50F8}.exe
{EC84F0B1-11ED-4FAD-8512-37B33600DD6D}.exe
{C453403F-65F0-414A-A890-245BF8B8F096}.exe
{3AA5E8E8-6222-4AAC-9F29-601CF85E8146}.exe
{EE73C870-25DA-4682-AE93-F03735A048B3}.exe
{104235AF-10D2-4EFD-AD2D-422B3DB9FE33}.exe
{E5BF39BD-BC2B-47EB-8111-0B504232D80F}.exe
{B68AE025-AC3E-49DD-9C90-50344E262370}.exe
{D59077C3-F48D-48B1-A0A3-0BF1C1FC2368}.exe
{AADED05F-57D3-411E-AC05-BCE3C43243B6}.exe
{C8DA093E-6C80-41C6-A493-BBCF52BFF7F8}.exe
{0E40090A-3B7B-4CE6-8767-F1755F287A81}.exe
{BA68FDF8-A904-43C9-93E1-BC554FD913AA}.exe
{129281BA-D613-4C13-93B3-34B0B39EF877}.exe
{0E557C44-A2AF-4ADF-B4F4-A24C3B752526}.exe
{680F4CEE-A082-4FD9-A0CC-B5A8DF67AB22}.exe
{BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe
{6BD11F14-2032-4DEE-AAE5-FA6BB1F1BDC9}.exe
{63CD4EF1-DC6C-447A-9648-E931FE6AFECF}.exe
{671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe

Zitat

Sabina postete
3.
poste das log vom silentrunner
http://virus-protect.org/silentrunner.html

Lief auch durch, hier das log:

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"NVCLOCK" = "Rundll32 nvclock.dll,fnNvclock" [MS]
"F-StopW" = "C:\Programme\F-Prot\F-StopW.EXE" ["Frisk Software International"]
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"ASUS Probe" = "C:\Programme\ASUS Probe\AsusProb.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [null data]
"MImpPro" = "C:\PROGRA~1\MOUSEI~1\MIProHst.exe" ["TV4 STUDIOS"]
"FRISK FP-Scheduler" = "C:\Programme\F-Prot\F-Sched.exe STARTUP" ["FRISK Software International"]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"RegProt" = "c:\dokumente und einstellungen\marcbaxxter\desktop\regprot\regprot.exe /start" ["Diamond Computer Systems Pty. Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{1474F601-9B4B-4EB0-81FA-20F753C0E1A4}" = "FRISK extension"
-> {HKLM...CLSID} = "FRISK Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\F-Prot\shexthk.dll" [empty string]
"{E443A8D5-D905-4401-8789-16AE23A8A96D}" = "FRISK extension"
-> {HKLM...CLSID} = "FRISKLinkExt Class"
\InProcServer32\(Default) = "C:\Programme\F-Prot\shexthk.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\RealOne Player\rpshell.dll" ["RealNetworks, Inc."]
"{F802F260-519B-11D1-BB5D-0060974C6013}" = "ICQ Shell Extension"
-> {HKLM...CLSID} = "ICQ Shell Extension"
\InProcServer32\(Default) = "C:\Programme\ICQ\ICQShExt.dll" ["ICQ"]
"{63AFBDFB-5EF8-4791-AF79-9A3C0DE48974}" = "EditPlus Context Menu Handler"
-> {HKLM...CLSID} = "EditPlus Context Menu Handler"
\InProcServer32\(Default) = "C:\Programme\EditPlus 2\eppshell.dll" [null data]
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}" = "ShimLayer Property Page"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\winnt\apppatch\slayerui.dll" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINNT\System32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = (value not set)

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
EditPlus\(Default) = "{63AFBDFB-5EF8-4791-AF79-9A3C0DE48974}"
-> {HKLM...CLSID} = "EditPlus Context Menu Handler"
\InProcServer32\(Default) = "C:\Programme\EditPlus 2\eppshell.dll" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
FRISK\(Default) = "{1474F601-9B4B-4EB0-81FA-20F753C0E1A4}"
-> {HKLM...CLSID} = "FRISK Shell Extension Class"
\InProcServer32\(Default) = "C:\Programme\F-Prot\shexthk.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\marcbaxxter\Anwendungsdaten\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"


Startup items in "marcbaxxter" & "All Users" startup folders:
-------------------------------------------------------------

C:\Dokumente und Einstellungen\marcbaxxter\Startmenü\Programme\Autostart
"DigiTV" -> shortcut to: "C:\Programme\Nebula\DigiTV\DigiTV.exe SLEEP" ["Nebula Electronics Ltd"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {HKLM...CLSID} = "Web Browser Applet Control"
\InProcServer32\(Default) = "C:\WINNT\System32\msjava.dll" [MS]

{6224F700-CBA3-4071-B251-47CB894244CD}\
"ButtonText" = "ICQ Pro"
"MenuText" = "ICQ"
"Exec" = "C:\PROGRA~1\ICQ\ICQ.exe" ["ICQ Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
F-Prot Antivirus Update Monitor, F-Prot Antivirus Update Monitor, ""C:\Programme\F-Prot\fpavupdm.exe"" ["FRISK Software"]
iPodService, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
Kerio Personal Firewall 4, KPF4, "C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe" ["Kerio Technologies"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
MWAgent, MWAgent, "C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE" ["MicroWorld Technologies Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINNT\System32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 17 seconds, including 2 seconds for message boxes)

Zitat

Sabina postete
4.
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

Der lief jetzt auch durch, als er das system32-Verzeichnis erreichte, sprang mein Virenscanner an, die Programme stürzten aber nicht ab. Hier das log:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 29.12.2003 14:00 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 1.7.2006 19:20 0 bytes Access is denied.

Zitat

Sabina postete
5.
versuche es noch mal mit der datfindbat (ohne Internetverbindung, am besten im abgesicherten Modus)

Juhu, die geht jetzt:

Verzeichnis von C:\WINNT\system32

08.07.2006 11:24 16.384 Perflib_Perfdata_35c.dat
08.07.2006 11:24 29.204 nvapps.xml
08.07.2006 11:03 36.131 YBUV
08.07.2006 10:48 1.892.352 MTKQYMJIZG
08.07.2006 10:37 3.167.426 JXGJO
05.07.2006 22:10 45.568 {C5CC0D55-24D2-4C38-B52A-1528AB738C89}.exe
05.07.2006 22:10 4.608 {8296D629-4E14-422C-B559-86D364232CFA}.exe
05.07.2006 22:04 45.568 {3D63DB9B-D058-400F-B59C-1A9130AF50F8}.exe
05.07.2006 22:04 4.608 {EC84F0B1-11ED-4FAD-8512-37B33600DD6D}.exe
05.07.2006 21:58 45.568 {C453403F-65F0-414A-A890-245BF8B8F096}.exe
05.07.2006 21:58 4.608 {3AA5E8E8-6222-4AAC-9F29-601CF85E8146}.exe
05.07.2006 21:51 45.568 {EE73C870-25DA-4682-AE93-F03735A048B3}.exe
05.07.2006 21:51 4.608 {104235AF-10D2-4EFD-AD2D-422B3DB9FE33}.exe
05.07.2006 21:45 45.568 {E5BF39BD-BC2B-47EB-8111-0B504232D80F}.exe
05.07.2006 21:45 4.608 {B68AE025-AC3E-49DD-9C90-50344E262370}.exe
05.07.2006 21:39 45.568 {D59077C3-F48D-48B1-A0A3-0BF1C1FC2368}.exe
05.07.2006 21:39 4.608 {AADED05F-57D3-411E-AC05-BCE3C43243B6}.exe
05.07.2006 21:33 45.568 {C8DA093E-6C80-41C6-A493-BBCF52BFF7F8}.exe
05.07.2006 21:33 4.608 {0E40090A-3B7B-4CE6-8767-F1755F287A81}.exe
05.07.2006 21:26 45.568 {BA68FDF8-A904-43C9-93E1-BC554FD913AA}.exe
05.07.2006 21:26 4.608 {129281BA-D613-4C13-93B3-34B0B39EF877}.exe
05.07.2006 21:20 45.568 {0E557C44-A2AF-4ADF-B4F4-A24C3B752526}.exe
05.07.2006 21:20 4.608 {680F4CEE-A082-4FD9-A0CC-B5A8DF67AB22}.exe
05.07.2006 21:13 424.718 {BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe
05.07.2006 21:13 45.568 {6BD11F14-2032-4DEE-AAE5-FA6BB1F1BDC9}.exe
05.07.2006 21:13 4.608 {63CD4EF1-DC6C-447A-9648-E931FE6AFECF}.exe
05.07.2006 21:12 51.272 csywj.exe
05.07.2006 21:12 51.272 {671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe
01.07.2006 20:05 43.520 CmdLineExt03.dll
14.06.2006 19:24 11.270 KGyGaAvL.sys


Verzeichnis von C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp

08.07.2006 11:26 368.723 IVSDXPPI.exe
08.07.2006 11:24 1.100 jusched.log
08.07.2006 11:14 16.384 ~DF7A5D.tmp
08.07.2006 11:13 16.384 ~DF39CF.tmp
08.07.2006 11:03 335.955 VBTHFPHEIL.exe
08.07.2006 10:48 266.323 QFPKBMPEO.exe
08.07.2006 10:38 278.611 PLHGM.exe
08.07.2006 10:20 16.384 ~DF317D.tmp


Verzeichnis von C:\WINNT

08.07.2006 11:21 1.004.321 WindowsUpdate.log
08.07.2006 11:20 32.628 SchedLgU.Txt
08.07.2006 11:03 730.536 ShellIconCache
08.07.2006 09:18 281 system.ini
07.07.2006 20:30 578 win.ini
07.07.2006 20:30 4.916 mailremv.log
07.07.2006 20:30 434 INST_TSP.LOG
07.07.2006 20:30 5.516 ESCAN.LOG
07.07.2006 20:20 926 frights.log
07.07.2006 20:18 589 MAILINST.LOG
07.07.2006 20:07 117.024 winsbak2.reg
07.07.2006 20:07 16.786 winsbak.reg
04.07.2006 16:56 943.603 setupapi.log
02.07.2006 16:57 542 eReg.dat
01.07.2006 19:24 24.781 wmsetup.log
01.07.2006 19:24 316.640 WMSysPr9.prx
01.07.2006 09:54 155 winamp.ini
27.06.2006 10:14 54.156 QTFont.qfn


Verzeichnis von C:\

08.07.2006 11:48 0 sys.txt
08.07.2006 11:47 8.814 system.txt
08.07.2006 11:47 663 systemtemp.txt
08.07.2006 11:46 100.202 system32.txt
08.07.2006 11:45 3.489 RootkitReveal.txt
08.07.2006 11:30 7.664 files.txt
08.07.2006 11:21 1.073.266.688 hiberfil.sys
08.07.2006 11:21 1.610.612.736 pagefile.sys
01.07.2006 23:46 600 PUTTY.RND
01.07.2006 18:15 55.926 tv3d_debug.txt

Zitat

6. Regsearch nach KillAndClean

Ich erinnere mich, daß ein Programm das schon weggekickt hat, deswegen ist das log auch leer denk ich:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 08.07.2006 11:28:28 for strings:
; 'killandclean'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

Zitat

7. Listen.bat

Datentr„ger in Laufwerk C: ist Hardcore_1
Datentr„gernummer: 7896-D115

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist Hardcore_1
Datentr„gernummer: 7896-D115

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist Hardcore_1
Datentr„gernummer: 7896-D115

Verzeichnis von C:\Programme

07.07.2006 20:32 <DIR> .
07.07.2006 20:32 <DIR> ..
14.10.2005 11:41 <DIR> ACDSee32
07.07.2006 21:48 <DIR> Ad-aware 6
23.12.2003 13:58 <DIR> ASUS Probe
28.06.2005 22:03 <DIR> Azureus
03.10.2004 15:06 <DIR> CD'n'Go! Suite
07.07.2006 20:32 <DIR> CleanUp!
23.12.2003 16:11 <DIR> CloneCD
29.07.2004 14:44 <DIR> Common Files
23.12.2003 13:27 <DIR> ComPlus Applications
19.09.2005 10:06 <DIR> CoreFTP
11.09.2004 13:17 <DIR> Cuttermaran
29.01.2005 14:43 <DIR> CyberLink
01.07.2006 19:19 <DIR> DAEMON Tools
24.07.2004 13:12 <DIR> DivX
29.12.2003 13:43 <DIR> DivX Codec
10.12.2004 17:29 <DIR> DOSBox
09.04.2005 16:22 <DIR> DOSBox v0.63
29.12.2003 12:21 <DIR> Drive Image 7.0
28.01.2005 20:17 <DIR> DVD Decrypter
23.07.2004 00:09 <DIR> DVD2avi
19.02.2005 15:46 <DIR> DVD2one
29.07.2004 14:43 <DIR> DVD2one v1.2.0
22.02.2005 00:29 <DIR> EditPlus 2
04.07.2006 17:52 <DIR> eMule
07.07.2006 20:30 <DIR> eScan
16.11.2005 10:54 <DIR> F-Prot
04.07.2006 16:55 <DIR> F1 Challenge 99-02
22.07.2004 17:37 <DIR> FlaskMPEG
07.07.2006 20:07 <DIR> Gemeinsame Dateien
27.04.2005 18:03 <DIR> GetRight
25.07.2004 11:52 <DIR> Ghostscript
26.11.2004 16:17 <DIR> Graphedit
01.07.2006 09:52 <DIR> ICQ
26.11.2004 16:20 <DIR> IfoEdit
29.12.2003 14:09 439 INSTALL.LOG
28.10.2005 16:42 <DIR> Internet Explorer
29.09.2005 23:57 <DIR> iPod
23.12.2003 16:14 <DIR> IsoBuster
29.09.2005 23:57 <DIR> iTunes
23.12.2003 14:36 <DIR> Java
06.09.2004 16:34 <DIR> Kazaa Lite
27.04.2005 18:44 <DIR> Kerio
23.12.2003 13:28 <DIR> microsoft frontpage
01.08.2004 13:42 <DIR> Microsoft Games
14.08.2004 14:51 <DIR> Microsoft Office
14.08.2004 14:51 <DIR> Microsoft Visual Studio
14.08.2004 15:11 <DIR> Microsoft Works
14.08.2004 14:51 <DIR> Microsoft.NET
27.11.2004 15:48 <DIR> MiKTex
23.12.2003 14:41 <DIR> MouseImpPro
23.12.2003 13:45 <DIR> MSI
22.07.2004 15:04 <DIR> Nebula
29.12.2003 14:30 <DIR> NeroBurningRom
28.10.2005 16:03 <DIR> NetMeeting
22.09.2004 16:23 <DIR> OfficeUpdate11
29.12.2003 13:59 <DIR> OO Defrag Professional
28.10.2005 16:42 <DIR> Outlook Express
16.05.2006 15:39 <DIR> PantsOff
29.01.2005 14:43 <DIR> PowerDVD
23.12.2003 15:13 <DIR> Prime95
26.07.2004 16:36 <DIR> PVAStrumento
29.09.2005 23:57 <DIR> QuickTime
01.10.2005 11:51 <DIR> RadioTracker
24.07.2004 00:13 <DIR> radium
23.12.2003 15:03 <DIR> RadiumCodec
27.05.2005 19:45 <DIR> RealOne Player
30.07.2004 18:24 <DIR> Rejig
01.07.2006 20:08 <DIR> RollerCoaster Tycoon 3
21.01.2006 14:45 <DIR> RssBandit
03.11.2004 01:04 <DIR> Spybot - Search & Destroy
01.07.2006 18:00 <DIR> STARWARS_TheBattleOfEndor_v21
17.02.2005 17:28 <DIR> STARWARS_TheBattleOfYavin_v11
20.09.2005 20:44 <DIR> Teamspeak2_RC2
28.10.2005 16:46 <DIR> Tiny Firewall
23.12.2003 16:22 <DIR> TMPGEnc
20.12.2005 18:27 <DIR> Trillian
08.04.2006 19:33 <DIR> TSO
25.07.2004 10:11 <DIR> TTSSH
13.01.2005 18:19 <DIR> TVgenial
03.12.2004 18:15 <DIR> Ubisoft
26.07.2004 00:27 <DIR> VideoReDo
23.12.2003 15:00 <DIR> VirtualDub
24.07.2004 00:22 <DIR> VirtualDubMPEG2
28.10.2005 16:26 <DIR> VVSN
14.04.2005 16:11 <DIR> Warcraft III
01.10.2005 14:19 <DIR> Winamp
01.07.2006 19:23 <DIR> Windows Media Player
28.10.2005 16:03 <DIR> Windows NT
23.12.2003 13:46 <DIR> WinRAR
27.04.2005 17:48 <DIR> WinRoute Lite
27.04.2005 18:02 <DIR> WinRoute Pro
19.09.2005 10:00 <DIR> WinSCP3
29.06.2006 19:07 <DIR> World of Warcraft
23.12.2003 13:26 <DIR> Zubeh”r
1 Datei(en) 439 Bytes
95 Verzeichnis(se), 22.134.394.880 Bytes frei
Datentr„ger in Laufwerk C: ist Hardcore_1
Datentr„gernummer: 7896-D115

Verzeichnis von C:\Dokumente und Einstellungen\marcbaxxter\Anwendungsdaten

01.10.2004 17:27 <DIR> Apple Computer
01.07.2006 20:08 <DIR> Atari
28.06.2005 22:06 <DIR> Azureus
28.06.2006 18:24 <DIR> CoreFTP
29.01.2005 14:46 <DIR> CyberLink
14.08.2004 16:19 <DIR> Help
29.12.2003 14:10 <DIR> ICQ
23.12.2003 13:33 <DIR> Identities
29.12.2003 12:27 <DIR> IsolatedStorage
27.07.2004 00:11 <DIR> Kazaa Lite
27.04.2006 16:02 5 kc.tmp
27.04.2005 18:08 <DIR> Kerio
30.07.2004 00:09 <DIR> Macromedia
22.07.2005 00:34 784 mpauth.dat
20.12.2005 18:25 <DIR> MSNInstaller
01.10.2005 11:55 <DIR> RadioRipper
28.05.2005 11:48 <DIR> Real
21.01.2006 14:47 <DIR> RssBandit
23.12.2003 14:36 <DIR> Sun
18.06.2006 10:40 <DIR> teamspeak2
2 Datei(en) 789 Bytes
18 Verzeichnis(se), 22.134.456.320 Bytes frei
Datentr„ger in Laufwerk C: ist Hardcore_1
Datentr„gernummer: 7896-D115

Verzeichnis von C:\Programme\Gemeinsame Dateien

07.07.2006 20:07 <DIR> .
07.07.2006 20:07 <DIR> ..
29.12.2003 14:30 <DIR> Ahead
16.04.2005 20:26 <DIR> Blizzard Entertainment
14.08.2004 14:51 <DIR> DESIGNER
28.10.2005 16:42 <DIR> Dienste
29.06.2005 19:24 <DIR> InstallShield
23.12.2003 14:35 <DIR> Java
28.10.2005 16:42 <DIR> Microsoft Shared
07.07.2006 20:07 <DIR> MicroWorld
23.12.2003 13:19 <DIR> ODBC
01.07.2006 19:23 <DIR> PocketSoft
27.05.2005 19:44 <DIR> Real
28.10.2005 16:42 <DIR> System
29.07.2004 14:35 <DIR> Vbox
27.05.2005 19:44 <DIR> xing shared
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 22.134.456.320 Bytes frei

#7 1.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten.

2.
poste noch mal die logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#8

Zitat

Sabina postete
1.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten.

Blacklight hat bei diesem run nichts gefunden. Kurz vorher fühlte sich mein Virenscanner allerdings berufen, diese seltsamen *.exe Dateien aus dem System32-Verzeichnis zu löschen, nachdem er da wieder rein kam ohne abzustürzen.

Zitat

Sabina postete
2.
poste noch mal die logs von datfindbat

Verzeichnis von C:\WINNT\system32

08.07.2006 11:24 16.384 Perflib_Perfdata_35c.dat
08.07.2006 11:24 29.204 nvapps.xml
08.07.2006 11:03 36.131 YBUV
08.07.2006 10:48 1.892.352 MTKQYMJIZG
08.07.2006 10:37 3.167.426 JXGJO
05.07.2006 21:13 424.718 {BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe
05.07.2006 21:12 51.272 {671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe
05.07.2006 21:12 51.272 csywj.exe
01.07.2006 20:05 43.520 CmdLineExt03.dll
14.06.2006 19:24 11.270 KGyGaAvL.sys


Verzeichnis von C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp

08.07.2006 11:24 1.100 jusched.log
08.07.2006 11:14 16.384 ~DF7A5D.tmp
08.07.2006 11:13 16.384 ~DF39CF.tmp
08.07.2006 11:03 335.955 VBTHFPHEIL.exe
08.07.2006 10:48 266.323 QFPKBMPEO.exe
08.07.2006 10:38 278.611 PLHGM.exe
08.07.2006 10:20 16.384 ~DF317D.tmp


Verzeichnis von C:\WINNT

08.07.2006 11:21 1.004.321 WindowsUpdate.log
08.07.2006 11:20 32.628 SchedLgU.Txt
08.07.2006 11:03 730.536 ShellIconCache
08.07.2006 09:18 281 system.ini
07.07.2006 20:30 578 win.ini
07.07.2006 20:30 4.916 mailremv.log
07.07.2006 20:30 434 INST_TSP.LOG
07.07.2006 20:30 5.516 ESCAN.LOG
07.07.2006 20:20 926 frights.log
07.07.2006 20:18 589 MAILINST.LOG
07.07.2006 20:07 117.024 winsbak2.reg
07.07.2006 20:07 16.786 winsbak.reg
04.07.2006 16:56 943.603 setupapi.log
02.07.2006 16:57 542 eReg.dat
01.07.2006 19:24 24.781 wmsetup.log
01.07.2006 19:24 316.640 WMSysPr9.prx
01.07.2006 09:54 155 winamp.ini
27.06.2006 10:14 54.156 QTFont.qfn


Verzeichnis von C:\

08.07.2006 12:01 0 sys.txt
08.07.2006 12:00 8.814 system.txt
08.07.2006 12:00 610 systemtemp.txt
08.07.2006 12:00 98.542 system32.txt
08.07.2006 11:45 3.489 RootkitReveal.txt
08.07.2006 11:30 7.664 files.txt
08.07.2006 11:21 1.073.266.688 hiberfil.sys
08.07.2006 11:21 1.610.612.736 pagefile.sys
01.07.2006 23:46 600 PUTTY.RND
01.07.2006 18:15 55.926 tv3d_debug.txt

#9 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\IVSDXPPI.exe
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF7A5D.tmp
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF39CF.tmp
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\VBTHFPHEIL.exe
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\QFPKBMPEO.exe
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\PLHGM.exe
C:\WINNT\system32\{BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe
C:\WINNT\system32\{671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe
C:\WINNT\system32\YBUV
C:\WINNT\system32\MTKQYMJIZG
C:\WINNT\system32\JXGJO
C:\WINNT\system32\csywj.exe
C:\WINNT\system32\taskmnegr.exe
C:\WINNT\taskmnegr.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger , was erscheint

**
poste noch mal das log von backlight

**
fixe mit dem HijackThis:

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14

PC neustarten

poste noch mal das log vom HijackThis

**
poste noch mal die logs von datfindbat (bis April 2006)
__________
MfG Sabina

rund um die PC-Sicherheit

#10

Zitat

Sabina postete
poste das log vom avenger , was erscheint

Hab es zweimal laufen lassen, weil ich beim ersten mal das Script falsch kopiert hatte, glaub ich. In dem log sind die files alle schon weg, sorry, hoffe, das ist kein Problem. Hier das log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ltgxlpwi

*******************

Script file located at: \??\C:\WINNT\fneatbxm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\IVSDXPPI.exe not found!
Deletion of file C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\IVSDXPPI.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\IVSDXPPI.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF7A5D.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF7A5D.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF7A5D.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF39CF.tmp not found!
Deletion of file C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF39CF.tmp failed!

Could not process line:
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\~DF39CF.tmp
Status: 0xc0000034



File C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\VBTHFPHEIL.exe not found!
Deletion of file C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\VBTHFPHEIL.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\VBTHFPHEIL.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\QFPKBMPEO.exe not found!
Deletion of file C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\QFPKBMPEO.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\QFPKBMPEO.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\PLHGM.exe not found!
Deletion of file C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\PLHGM.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\marcbaxxter\Lokale Einstellungen\Temp\PLHGM.exe
Status: 0xc0000034



File C:\WINNT\system32\{BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe not found!
Deletion of file C:\WINNT\system32\{BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe failed!

Could not process line:
C:\WINNT\system32\{BABC583A-C8B3-44F4-A2E8-853CE72CF4C5}.exe
Status: 0xc0000034



File C:\WINNT\system32\{671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe not found!
Deletion of file C:\WINNT\system32\{671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe failed!

Could not process line:
C:\WINNT\system32\{671D9393-CDD4-49BC-BD85-4AFD861E7939}.exe
Status: 0xc0000034



File C:\WINNT\system32\YBUV not found!
Deletion of file C:\WINNT\system32\YBUV failed!

Could not process line:
C:\WINNT\system32\YBUV
Status: 0xc0000034



File C:\WINNT\system32\MTKQYMJIZG not found!
Deletion of file C:\WINNT\system32\MTKQYMJIZG failed!

Could not process line:
C:\WINNT\system32\MTKQYMJIZG
Status: 0xc0000034



File C:\WINNT\system32\JXGJO not found!
Deletion of file C:\WINNT\system32\JXGJO failed!

Could not process line:
C:\WINNT\system32\JXGJO
Status: 0xc0000034



File C:\WINNT\system32\csywj.exe not found!
Deletion of file C:\WINNT\system32\csywj.exe failed!

Could not process line:
C:\WINNT\system32\csywj.exe
Status: 0xc0000034



File C:\WINNT\system32\taskmnegr.exe not found!
Deletion of file C:\WINNT\system32\taskmnegr.exe failed!

Could not process line:
C:\WINNT\system32\taskmnegr.exe
Status: 0xc0000034



File C:\WINNT\taskmnegr.exe not found!
Deletion of file C:\WINNT\taskmnegr.exe failed!

Could not process line:
C:\WINNT\taskmnegr.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Zitat

Sabina postete
**
poste noch mal das log von backlight

07/08/06 12:15:01 [Info]: BlackLight Engine 1.0.42 initialized
07/08/06 12:15:01 [Info]: OS: 5.0 build 2195 (Service Pack 4)
07/08/06 12:15:02 [Note]: 7019 4
07/08/06 12:15:02 [Note]: 7005 0
07/08/06 12:15:04 [Note]: 7006 0
07/08/06 12:15:04 [Note]: 7011 1200
07/08/06 12:15:04 [Note]: 7026 0
07/08/06 12:15:04 [Note]: 7026 0
07/08/06 12:15:09 [Note]: FSRAW library version 1.7.1019
07/08/06 12:17:33 [Note]: 7007 0

Zitat

Sabina postete
**
poste noch mal das log vom HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 12:18:08, on 08.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\F-Prot\F-StopW.EXE
C:\WINNT\system32\sstray.exe
C:\Programme\ASUS Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\MOUSEI~1\MIProHst.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\internat.exe
C:\Programme\Nebula\DigiTV\DigiTV.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MImpPro] C:\PROGRA~1\MOUSEI~1\MIProHst.exe
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RegProt] c:\dokumente und einstellungen\marcbaxxter\desktop\regprot\regprot.exe /start
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: DigiTV.lnk = C:\Programme\Nebula\DigiTV\DigiTV.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\marcbaxxter\Anwendungsdaten\RssBandit\iecontext_subscribefeed.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PLHGM - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\PLHGM.exe (file missing)
O23 - Service: QFPKBMPEO - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\QFPKBMPEO.exe (file missing)
O23 - Service: VBTHFPHEIL - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\VBTHFPHEIL.exe (file missing)

Zitat

Sabina postete
**
poste noch mal die logs von datfindbat (bis April 2006)

Verzeichnis von C:\WINNT\system32

08.07.2006 12:12 29.204 nvapps.xml
01.07.2006 20:05 43.520 CmdLineExt03.dll
14.06.2006 19:24 11.270 KGyGaAvL.sys
14.02.2006 09:20 550.120 LegitCheckControl.DLL
11.02.2006 04:08 913.408 contfilt.dll
11.02.2006 03:58 335.872 mwtsp.dll
11.02.2006 03:56 110.592 mwnsp.dll


Verzeichnis von C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp

08.07.2006 12:17 16.384 ~DFFA48.tmp
08.07.2006 12:12 1.540 jusched.log
08.07.2006 10:20 16.384 ~DF317D.tmp


Verzeichnis von C:\WINNT

08.07.2006 12:12 1.007.981 WindowsUpdate.log
08.07.2006 12:11 32.628 SchedLgU.Txt
08.07.2006 11:03 730.536 ShellIconCache
08.07.2006 09:18 281 system.ini
07.07.2006 20:30 578 win.ini
07.07.2006 20:30 4.916 mailremv.log
07.07.2006 20:30 434 INST_TSP.LOG
07.07.2006 20:30 5.516 ESCAN.LOG
07.07.2006 20:20 926 frights.log
07.07.2006 20:18 589 MAILINST.LOG
07.07.2006 20:07 117.024 winsbak2.reg
07.07.2006 20:07 16.786 winsbak.reg
04.07.2006 16:56 943.603 setupapi.log
02.07.2006 16:57 542 eReg.dat
01.07.2006 19:24 24.781 wmsetup.log
01.07.2006 19:24 316.640 WMSysPr9.prx
01.07.2006 09:54 155 winamp.ini
27.06.2006 10:14 54.156 QTFont.qfn
25.04.2006 22:38 139 msicpl.ini
08.04.2006 19:44 252.313 DirectX.log


Verzeichnis von C:\

08.07.2006 12:19 0 sys.txt
08.07.2006 12:18 8.814 system.txt
08.07.2006 12:18 399 systemtemp.txt
08.07.2006 12:18 98.119 system32.txt
08.07.2006 12:11 1.073.266.688 hiberfil.sys
08.07.2006 12:11 1.610.612.736 pagefile.sys
08.07.2006 12:11 8.294 avenger.txt
08.07.2006 11:45 3.489 RootkitReveal.txt
08.07.2006 11:30 7.664 files.txt
01.07.2006 23:46 600 PUTTY.RND
01.07.2006 18:15 55.926 tv3d_debug.txt

#11 fixe mit dem HijackThis:

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14

PC neustarten

poste noch mal das log vom HijackThis

2.
Registry Search
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

PLHGM

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

auch mit:

QFPKBMPEO
VBTHFPHEIL
__________
MfG Sabina

rund um die PC-Sicherheit

#12

Zitat

Sabina postete
poste noch mal das log vom HijackThis

Ich hatte den Eintrag fixen lassen, aber er ist wieder da

Logfile of HijackThis v1.99.1
Scan saved at 12:37:12, on 08.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\F-Prot\F-StopW.EXE
C:\WINNT\system32\sstray.exe
C:\Programme\ASUS Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\MOUSEI~1\MIProHst.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\explorer.exe
C:\Programme\Nebula\DigiTV\DigiTV.exe
C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\RegSearch\regsearch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MImpPro] C:\PROGRA~1\MOUSEI~1\MIProHst.exe
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RegProt] c:\dokumente und einstellungen\marcbaxxter\desktop\regprot\regprot.exe /start
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: DigiTV.lnk = C:\Programme\Nebula\DigiTV\DigiTV.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\marcbaxxter\Anwendungsdaten\RssBandit\iecontext_subscribefeed.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: PLHGM - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\PLHGM.exe (file missing)
O23 - Service: QFPKBMPEO - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\QFPKBMPEO.exe (file missing)
O23 - Service: VBTHFPHEIL - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\VBTHFPHEIL.exe (file missing)

Zitat

Sabina postete
2. Registry Search
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

PLHGM
auch mit:
QFPKBMPEO
VBTHFPHEIL

Hier das log für alle drei Begriffe zusammen:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 08.07.2006 12:35:57 for strings:
; 'plhgm'
; 'qfpkbmpeo'
; 'vbthfpheil'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PLHGM]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PLHGM\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PLHGM\0000]
"Service"="PLHGM"
"DeviceDesc"="PLHGM"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QFPKBMPEO]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QFPKBMPEO\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QFPKBMPEO\0000]
"Service"="QFPKBMPEO"
"DeviceDesc"="QFPKBMPEO"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VBTHFPHEIL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VBTHFPHEIL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VBTHFPHEIL\0000]
"Service"="VBTHFPHEIL"
"DeviceDesc"="VBTHFPHEIL"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PLHGM]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PLHGM]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\plhgm.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,50,4c,48,47,4d,2e,65,78,65,00
"DisplayName"="PLHGM"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PLHGM\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PLHGM\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PLHGM\Enum]
"0"="Root\\LEGACY_PLHGM\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QFPKBMPEO]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QFPKBMPEO]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\qfpkbmpeo.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,51,46,50,4b,42,4d,50,45,4f,2e,\
65,78,65,00
"DisplayName"="QFPKBMPEO"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QFPKBMPEO\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QFPKBMPEO\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QFPKBMPEO\Enum]
"0"="Root\\LEGACY_QFPKBMPEO\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBTHFPHEIL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBTHFPHEIL]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\vbthfpheil.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,56,42,54,48,46,50,48,45,49,4c,\
2e,65,78,65,00
"DisplayName"="VBTHFPHEIL"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBTHFPHEIL\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBTHFPHEIL\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBTHFPHEIL\Enum]
"0"="Root\\LEGACY_VBTHFPHEIL\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PLHGM]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PLHGM\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PLHGM\0000]
"Service"="PLHGM"
"DeviceDesc"="PLHGM"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_QFPKBMPEO]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_QFPKBMPEO\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_QFPKBMPEO\0000]
"Service"="QFPKBMPEO"
"DeviceDesc"="QFPKBMPEO"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VBTHFPHEIL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VBTHFPHEIL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VBTHFPHEIL\0000]
"Service"="VBTHFPHEIL"
"DeviceDesc"="VBTHFPHEIL"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PLHGM]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PLHGM]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\plhgm.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,50,4c,48,47,4d,2e,65,78,65,00
"DisplayName"="PLHGM"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PLHGM\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\QFPKBMPEO]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\QFPKBMPEO]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\qfpkbmpeo.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,51,46,50,4b,42,4d,50,45,4f,2e,\
65,78,65,00
"DisplayName"="QFPKBMPEO"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\QFPKBMPEO\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBTHFPHEIL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBTHFPHEIL]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\vbthfpheil.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,56,42,54,48,46,50,48,45,49,4c,\
2e,65,78,65,00
"DisplayName"="VBTHFPHEIL"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBTHFPHEIL\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLHGM]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLHGM\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLHGM\0000]
"Service"="PLHGM"
"DeviceDesc"="PLHGM"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QFPKBMPEO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QFPKBMPEO\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QFPKBMPEO\0000]
"Service"="QFPKBMPEO"
"DeviceDesc"="QFPKBMPEO"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VBTHFPHEIL]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VBTHFPHEIL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VBTHFPHEIL\0000]
"Service"="VBTHFPHEIL"
"DeviceDesc"="VBTHFPHEIL"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\plhgm.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,50,4c,48,47,4d,2e,65,78,65,00
"DisplayName"="PLHGM"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM\Enum]
"0"="Root\\LEGACY_PLHGM\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\qfpkbmpeo.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,51,46,50,4b,42,4d,50,45,4f,2e,\
65,78,65,00
"DisplayName"="QFPKBMPEO"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO\Enum]
"0"="Root\\LEGACY_QFPKBMPEO\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL]
; Contents of value:
; c:\dokume~1\marcba~1\lokale~1\temp\vbthfpheil.exe
"ImagePath"=hex(2):43,3a,5c,44,4f,4b,55,4d,45,7e,31,5c,4d,41,52,43,42,41,7e,31,\
5c,4c,4f,4b,41,4c,45,7e,31,5c,54,65,6d,70,5c,56,42,54,48,46,50,48,45,49,4c,\
2e,65,78,65,00
"DisplayName"="VBTHFPHEIL"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL\Enum]
"0"="Root\\LEGACY_VBTHFPHEIL\\0000"

; End Of The Log...

#13 kopiere in den avenger:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PLHGM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QFPKBMPEO
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VBTHFPHEIL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PLHGM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QFPKBMPEO
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBTHFPHEIL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PLHGM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_QFPKBMPEO
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VBTHFPHEIL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PLHGM
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\QFPKBMPEO
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBTHFPHEIL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLHGM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QFPKBMPEO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VBTHFPHEIL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger

**
fixe mit dem hijackThis:

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0E0C12C-0CA3-4662-899E-81EA48415601}: NameServer = 85.255.115.93 85.255.112.14

O23 - Service: PLHGM - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\PLHGM.exe (file missing)
O23 - Service: QFPKBMPEO - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\QFPKBMPEO.exe (file missing)
O23 - Service: VBTHFPHEIL - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\VBTHFPHEIL.exe (file missing)

neustarten

**
poste das neue Log vom HijackThis

**
Startdreck
http://virus-protect.org/zip/StartDreck.zip

- entpacke es in einen extra Ordner
- starte die startdreck.exe
- wähle config/mark all
- drücke OK
- drücke Save, speichere das Log und poste den Inhalt bitte hier.
__________
MfG Sabina

rund um die PC-Sicherheit

#14

Zitat

Sabina postete
poste das log vom Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gjubojhk

*******************

Script file located at: \??\C:\dcjdmkmt.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PLHGM deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_QFPKBMPEO deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_VBTHFPHEIL deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PLHGM deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\QFPKBMPEO deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBTHFPHEIL deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_PLHGM deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_QFPKBMPEO deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_VBTHFPHEIL deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PLHGM deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\QFPKBMPEO deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBTHFPHEIL deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLHGM not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLHGM failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PLHGM
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QFPKBMPEO not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QFPKBMPEO failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QFPKBMPEO
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VBTHFPHEIL not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VBTHFPHEIL failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VBTHFPHEIL
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PLHGM
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QFPKBMPEO
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBTHFPHEIL
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Zitat

Sabina postete
fixe mit dem hijackThis:

Die drei wurden mir nach dem Neustart nach Avenger nicht mehr angezeigt, konnte sie nicht fixen lassen:

Zitat

O23 - Service: PLHGM - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\PLHGM.exe (file missing)
O23 - Service: QFPKBMPEO - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\QFPKBMPEO.exe (file missing)
O23 - Service: VBTHFPHEIL - Unknown owner - C:\DOKUME~1\MARCBA~1\LOKALE~1\Temp\VBTHFPHEIL.exe (file missing)

neustarten

Zitat

Sabina postete
poste das neue Log vom HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 13:00:32, on 08.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Prot\fpavupdm.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\F-Prot\F-StopW.EXE
C:\WINNT\system32\sstray.exe
C:\Programme\ASUS Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRA~1\MOUSEI~1\MIProHst.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Nebula\DigiTV\DigiTV.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS Probe\AsusProb.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MImpPro] C:\PROGRA~1\MOUSEI~1\MIProHst.exe
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RegProt] c:\dokumente und einstellungen\marcbaxxter\desktop\regprot\regprot.exe /start
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: DigiTV.lnk = C:\Programme\Nebula\DigiTV\DigiTV.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Standard-Aggregator abonnieren - C:\Dokumente und Einstellungen\marcbaxxter\Anwendungsdaten\RssBandit\iecontext_subscribefeed.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\F-Prot\fpavupdm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

Zitat

Sabina postete
Startdreck
- drücke Save, speichere das Log und poste den Inhalt bitte hier.

StartDreck (build 2.1.7 public stable) - 2006-07-08 @ 13:02:02 (GMT +02:00)
Platform: Windows 2000 (Win NT 5.0.2195 Service Pack 4)
Internet Explorer: 6.0.2800.1106
Logged in as marcbaxxter at GANDALF

»Registry
»Run Keys
»Current User
»Run
*internat.exe=internat.exe
»RunOnce
»Default User
»Run
*internat.exe=internat.exe
»RunOnce
*^SetupICWDesktop=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
»Local Machine
»Run
*Synchronization Manager=mobsync.exe /logon
*NVCLOCK=Rundll32 nvclock.dll,fnNvclock
*F-StopW=C:\Programme\F-Prot\F-StopW.EXE
*nForce Tray Options=sstray.exe /r
*ASUS Probe=C:\Programme\ASUS Probe\AsusProb.exe
*SunJavaUpdateSched=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
*MImpPro=C:\PROGRA~1\MOUSEI~1\MIProHst.exe
*FRISK FP-Scheduler=C:\Programme\F-Prot\F-Sched.exe STARTUP
*iTunesHelper="C:\Programme\iTunes\iTunesHelper.exe"
*NvCplDaemon=RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
*nwiz=nwiz.exe /install
*NvMediaCenter=RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
*RegProt=c:\dokumente und einstellungen\marcbaxxter\desktop\regprot\regprot.exe /start
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="C:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINNT\system32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Active Setup (LM)
+Zugang zu Internet Explorer/>{26923b43-4d38-484f-9b9e-de460746276c}
*StubPath="C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigIE
+Browseranpassungen/>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
*StubPath=RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
+Zugang zu Outlook Express/>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}
*StubPath="C:\WINNT\System32\shmgrate.exe" OCInstallUserConfigOE
+Microsoft Windows Media Player 6.4/{22d6f312-b0f6-11d0-94ab-0080c74c7e95}
*StubPath=rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\mplayer2.inf,PerUserStub.NT
+Microsoft Outlook Express 6/{44BBA840-CC51-11CF-AAFA-00AA00B6015C}
*StubPath="%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
+NetMeeting 3.01/{44BBA842-CC51-11CF-AAFA-00AA00B6015B}
*StubPath=rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
+EnableRevocation/{6A5110B5-E14B-4268-A065-EF89FF33C325}
*StubPath=regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
+Adressbuch 5/{7790769C-0471-11d2-AF11-00C04FA35D02}
*StubPath="%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
+Windows Desktop-Aktualisierung/{89820200-ECBD-11cf-8B85-00AA005B4340}
*StubPath=regsvr32.exe /s /n /i:U shell32.dll
+Internet Explorer 6/{89820200-ECBD-11cf-8B85-00AA005B4383}
*StubPath=%SystemRoot%\system32\ie4uinit.exe
+CRLUpdate/{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}
*StubPath=%SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl
»Browser Helper Objects (LM)
»Internet Explorer
»Current User
*Local Page=C:\WINNT\system32\blank.htm
*Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Start Page=about:blank
+SearchUrl
*provider=
»Default User
»Local Machine
*Default_Page_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
*Default_Search_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Local Page=%SystemRoot%\system32\blank.htm
*Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
*Start Page=http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
*CustomizeSearch=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
*SearchAssistant=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
»ShellServiceObjectDelayLoad (LM)
*Network.ConnectionTray={7007ACCF-3202-11D1-AAD2-00805FC1270E}
`InprocServer32=C:\WINNT\system32\NETSHELL.dll
*WebCheck={E6FB5E20-DE35-11CF-9C87-00AA005127ED}
`InprocServer32=%SystemRoot%\system32\webcheck.dll
*SysTray={35CEC8A3-2BE6-11D2-8773-92E220524153}
`InprocServer32=stobject.dll
»Special NT Values
»Current User
*Load=
*Run=
*Programs=com exe bat pif cmd
*SHELL=
»Default User
*Load=
*Run=
*Programs=com exe bat pif cmd
*SHELL=
»Local Machine
*AppInit_DLLs=
*SHELL=Explorer.exe
*Userinit=C:\WINNT\system32\userinit.exe,
»Files
»Autostart Folders
»Current User
*C:\Dokumente und Einstellungen\marcbaxxter\Startmenü\Programme\Autostart\DigiTV.lnk
»Default User
»Local Machine
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
`[boot loader]
`timeout=30
`default=multi(0)disk(0)rdisk(0)partition(1)\WINNT
`[operating systems]
`multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect
*C:\msdos.sys
*C:\config.sys
*C:\WINNT\system32\config.nt
`dos=high, umb
`device=%SystemRoot%\system32\himem.sys
`files=20
*C:\autoexec.bat
*C:\WINNT\system32\autoexec.nt
`@echo off
`lh %SystemRoot%\system32\mscdexnt.exe
`lh %SystemRoot%\system32\redir
`lh %SystemRoot%\system32\dosx
*C:\WINNT\wininit.ini
`[rename]
`NUL=InitTermMutex24c
*C:\WINNT\system32\drivers\etc\hosts
`127.0.0.1 localhost
»Program Files
*C:\ntldr
*C:\ntdetect.com
*C:\io.sys
*C:\WINNT\system32\win.com
*C:\WINNT\explorer.exe
»%PATH% Companion Files
+C:\WINNT\system32\TASKMGR.COM
*C:\WINNT\system32\TASKMGR.EXE
+C:\WINNT\system32\notepad.exe
*C:\WINNT\notepad.exe
+C:\WINNT\system32\taskman.exe
*C:\WINNT\taskman.exe
+C:\WINNT\system32\winhlp32.exe
*C:\WINNT\winhlp32.exe
+C:\WINNT\REGEDIT.COM
*C:\WINNT\regedit.exe
+C:\Programme\MiKTex\texmf\miktex\bin\mpm.com
*C:\Programme\MiKTex\texmf\miktex\bin\mpm.exe
+C:\Programme\MiKTex\texmf\miktex\bin\gssetgs.exe
*C:\Programme\MiKTex\texmf\miktex\bin\gssetgs.bat
+C:\Programme\MiKTex\texmf\miktex\bin\pdfopt.exe
*C:\Programme\MiKTex\texmf\miktex\bin\pdfopt.bat
+C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf.exe
*C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf.bat
+C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf12.exe
*C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf12.bat
+C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf13.exe
*C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf13.bat
+C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf14.exe
*C:\Programme\MiKTex\texmf\miktex\bin\ps2pdf14.bat
+C:\Programme\MiKTex\texmf\miktex\bin\ps2pdfxx.exe
*C:\Programme\MiKTex\texmf\miktex\bin\ps2pdfxx.bat
+C:\Programme\MiKTex\texmf\miktex\bin\ps2ps.exe
*C:\Programme\MiKTex\texmf\miktex\bin\ps2ps.bat
+C:\Programme\MiKTex\texmf\miktex\bin\texdoc.exe
*C:\Programme\MiKTex\texmf\miktex\bin\texdoc.bat
»System/Drivers
»Running Processes
+0=<idle>
+8=<system>
+276=\SystemRoot\System32\smss.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\System32\sfcfiles.dll
+300=\??\C:\WINNT\system32\csrss.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\CSRSRV.dll
*C:\WINNT\system32\basesrv.dll
*C:\WINNT\system32\winsrv.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\GDI32.DLL
+320=\??\C:\WINNT\system32\winlogon.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\NDDEAPI.DLL
*C:\WINNT\system32\SFC.DLL
*C:\WINNT\system32\sfcfiles.dll
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\PROFMAP.DLL
*C:\WINNT\system32\NETAPI32.dll
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\msgina.dll
*C:\WINNT\system32\SHELL32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\WINSTA.DLL
*C:\WINNT\system32\WINMM.dll
*C:\WINNT\system32\setupapi.dll
*C:\WINNT\system32\wdmaud.drv
*C:\WINNT\system32\cscdll.dll
*C:\WINNT\system32\wintrust.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\IMAGEHLP.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\WlNotify.dll
*C:\WINNT\system32\CERTCLI.DLL
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\WINSCARD.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\mscat32.dll
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\wzcdlg.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\WZCSAPI.DLL
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\msv1_0.dll
+356=C:\WINNT\system32\services.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\UMPNPMGR.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\SCESRV.DLL
*C:\WINNT\system32\NTDSAPI.DLL
*C:\WINNT\system32\eventlog.dll
*C:\WINNT\system32\dhcpcsvc.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\IPHLPAPI.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\OLEAUT32.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\dnsrslvr.dll
*C:\WINNT\system32\lmhsvc.dll
*C:\WINNT\system32\WINSTA.DLL
*C:\WINNT\system32\dmserver.dll
*C:\WINNT\system32\CFGMGR32.DLL
*C:\WINNT\system32\Srvsvc.dll
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\wkssvc.dll
*C:\WINNT\system32\CRYPTDLL.DLL
*C:\WINNT\system32\cryptsvc.dll
*C:\WINNT\system32\psbase.dll
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\seclogon.dll
*C:\WINNT\system32\trkwks.dll
*C:\WINNT\system32\alrsvc.dll
*C:\WINNT\system32\browser.dll
*C:\WINNT\system32\msgsvc.dll
*C:\WINNT\system32\mswsock.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\wmicore.dll
+368=C:\WINNT\system32\lsass.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\LSASRV.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\CRYPTDLL.DLL
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\SAMSRV.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\msprivs.dll
*C:\WINNT\system32\kerberos.dll
*C:\WINNT\system32\msv1_0.dll
*C:\WINNT\system32\CRYPT32.DLL
*C:\WINNT\system32\netlogon.dll
*C:\WINNT\system32\NTDSAPI.DLL
*C:\WINNT\system32\schannel.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\rsabase.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\mpr.dll
*C:\WINNT\system32\setupapi.dll
*C:\WINNT\system32\COMCTL32.dll
*C:\WINNT\system32\scecli.dll
*C:\WINNT\system32\polagent.dll
*C:\WINNT\system32\MFC42U.DLL
*C:\WINNT\system32\OAKLEY.DLL
*C:\WINNT\system32\IPHLPAPI.DLL
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\OLEAUT32.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\system32\MFC42LOC.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\dssenh.dll
+536=C:\WINNT\system32\svchost.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*c:\winnt\system32\rpcss.dll
*C:\WINNT\system32\MSVCRT.DLL
*c:\winnt\system32\USERENV.DLL
*c:\winnt\system32\WS2_32.DLL
*c:\winnt\system32\WS2HELP.DLL
*c:\winnt\system32\SECUR32.DLL
*c:\winnt\system32\WINSTA.DLL
*C:\WINNT\system32\mswsock.dll
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\OLEAUT32.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\msv1_0.dll
*C:\WINNT\system32\CRYPT32.DLL
*C:\WINNT\system32\MSASN1.DLL
+564=C:\WINNT\system32\spoolsv.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\SPOOLSS.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\IPHLPAPI.DLL
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\OLEAUT32.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\localspl.dll
*C:\WINNT\system32\VERSION.DLL
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\SFC.DLL
*C:\WINNT\system32\sfcfiles.dll
*C:\WINNT\system32\winspool.drv
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\cnbjmon.dll
*C:\WINNT\system32\mdimon.dll
*C:\WINNT\system32\msi.dll
*C:\WINNT\system32\pjlmon.dll
*C:\WINNT\system32\tcpmon.dll
*C:\WINNT\system32\usbmon.dll
*C:\WINNT\system32\spool\PRTPROCS\W32X86\mdippr.dll
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\WINNT\system32\win32spl.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\inetpp.dll
+588=C:\WINNT\System32\svchost.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*c:\winnt\system32\es.dll
*c:\winnt\system32\TxfAux.Dll
*C:\WINNT\system32\MSVCRT.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\System32\CLBCATQ.DLL
*c:\winnt\system32\ntmssvc.dll
*c:\winnt\system32\sens.dll
*c:\winnt\system32\tapisrv.dll
*C:\WINNT\system32\COMCTL32.dll
*C:\WINNT\System32\secur32.dll
*C:\WINNT\System32\WS2_32.dll
*C:\WINNT\System32\WS2HELP.DLL
*c:\winnt\system32\rasmans.dll
*c:\winnt\system32\rtutils.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*c:\winnt\system32\netcfgx.dll
*c:\winnt\system32\DNSAPI.dll
*c:\winnt\system32\WSOCK32.DLL
*c:\winnt\system32\RASAPI32.dll
*c:\winnt\system32\RASMAN.DLL
*c:\winnt\system32\TAPI32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*c:\winnt\system32\RASDLG.dll
*c:\winnt\system32\MPRAPI.dll
*c:\winnt\system32\SAMLIB.DLL
*c:\winnt\system32\NETAPI32.DLL
*c:\winnt\system32\NETRAP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*c:\winnt\system32\ACTIVEDS.DLL
*c:\winnt\system32\ADSLDPC.DLL
*c:\winnt\system32\SETUPAPI.DLL
*c:\winnt\system32\USERENV.DLL
*C:\WINNT\System32\rastapi.dll
*C:\WINNT\System32\unimdm.tsp
*C:\WINNT\System32\uniplat.dll
*C:\WINNT\System32\CFGMGR32.dll
*C:\WINNT\System32\NTMARTA.DLL
*C:\WINNT\System32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\System32\NTDSAPI.dll
*C:\WINNT\System32\kmddsp.tsp
*C:\WINNT\System32\ndptsp.tsp
*C:\WINNT\System32\ipconf.tsp
*C:\WINNT\System32\h323.tsp
*C:\WINNT\System32\iphlpapi.dll
*C:\WINNT\System32\ICMP.DLL
*C:\WINNT\System32\DHCPCSVC.DLL
*C:\WINNT\System32\rasppp.dll
*C:\WINNT\System32\ntlsapi.dll
*C:\WINNT\System32\comsvcs.dll
*C:\WINNT\System32\MSDTCPRX.dll
*C:\WINNT\System32\MTXCLU.DLL
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\System32\CLUSAPI.DLL
*C:\WINNT\System32\RESUTILS.DLL
*C:\WINNT\System32\raschap.dll
*C:\WINNT\System32\ATL.DLL
*C:\WINNT\System32\rastls.dll
*C:\WINNT\System32\CRYPTUI.dll
*C:\WINNT\System32\WINTRUST.dll
*C:\WINNT\system32\IMAGEHLP.dll
*C:\WINNT\System32\SCHANNEL.dll
*C:\WINNT\System32\WinSCard.dll
*c:\winnt\system32\ipnathlp.dll
*c:\winnt\system32\MSWSOCK.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*c:\winnt\system32\netman.dll
*C:\WINNT\system32\NETSHELL.dll
*C:\WINNT\System32\WMI.dll
*C:\WINNT\System32\rsabase.dll
*C:\WINNT\System32\NTMSDBA.dll
+608=C:\Programme\F-Prot\fpavupdm.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\WSOCK32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\shell32.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\rsabase.dll
*C:\WINNT\system32\sensapi.dll
*C:\WINNT\system32\urlmon.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
+628=C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
*C:\WINNT\system32\ntdll.dll
*C:\Programme\Kerio\Personal Firewall 4\kfe.dll
*C:\WINNT\system32\WSOCK32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\Programme\Kerio\Personal Firewall 4\KTLIBEAY32_0.9.7.2.DLL
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\Programme\Kerio\Personal Firewall 4\MSVCR70.dll
*C:\Programme\Kerio\Personal Firewall 4\KTSSLEAY32_0.9.7.2.DLL
*C:\Programme\Kerio\Personal Firewall 4\kticonv.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\WINMM.dll
*C:\WINNT\system32\Secur32.dll
*C:\WINNT\system32\wtsapi32.dll
*C:\WINNT\system32\UTILDLL.dll
*C:\WINNT\system32\TAPI32.dll
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\NETAPI32.dll
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WINSTA.dll
*C:\WINNT\system32\REGAPI.dll
*C:\WINNT\system32\MPRAPI.dll
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\OLEAUT32.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\Programme\Kerio\Personal Firewall 4\KTZLIB.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\Programme\Kerio\Personal Firewall 4\kwsapi.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\IPHLPAPI.DLL
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\system32\NETMAN.DLL
*C:\WINNT\system32\rsabase.dll
+664=C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\1031\mdmui.dll
*C:\WINNT\system32\psapi.dll
*C:\WINNT\system32\CLBCATQ.DLL
+684=C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\kernel32.dll
*C:\WINNT\system32\user32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\advapi32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\oleaut32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\version.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\comctl32.dll
+720=C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\kernel32.dll
*C:\WINNT\system32\user32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\advapi32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\oleaut32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\mpr.dll
*C:\WINNT\system32\version.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\comctl32.dll
*C:\WINNT\system32\wsock32.dll
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
+728=C:\WINNT\System32\nvsvc32.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\System32\USERENV.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\System32\POWRPROF.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\OLEAUT32.dll
+752=C:\WINNT\system32\regsvc.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\secur32.dll
+768=C:\WINNT\system32\MSTask.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\MSVCRT.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\NETAPI32.dll
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\NTDSAPI.dll
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\USERENV.dll
*C:\WINNT\system32\mswsock.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\OLEAUT32.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\MSIDLE.DLL
+780=C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SHELL32.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\WSOCK32.dll
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\Programme\Kerio\Personal Firewall 4\KTSSLEAY32_0.9.7.2.DLL
*C:\Programme\Kerio\Personal Firewall 4\KTLIBEAY32_0.9.7.2.DLL
*C:\Programme\Kerio\Personal Firewall 4\MSVCR70.dll
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\USERENV.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\Programme\Kerio\Personal Firewall 4\KTZLIB.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
+856=C:\WINNT\System32\WBEM\WinMgmt.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\System32\WBEM\wbemcomn.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\MSVCRT.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\System32\wbem\wbemcore.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\System32\wbem\fastprox.dll
*C:\WINNT\System32\wbem\wbemess.dll
*C:\WINNT\System32\wbem\wbemsvc.dll
+944=C:\WINNT\system32\svchost.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*c:\winnt\system32\wuauserv.dll
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\wuaueng.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\ADVPACK.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\SHFOLDER.dll
*C:\WINNT\system32\USERENV.dll
*C:\WINNT\system32\WS2_32.dll
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\ESENT.dll
*C:\WINNT\system32\WTSAPI32.dll
*C:\WINNT\system32\UTILDLL.dll
*C:\WINNT\system32\TAPI32.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\NETAPI32.dll
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\WINSTA.dll
*C:\WINNT\system32\REGAPI.dll
*C:\WINNT\system32\MPRAPI.dll
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\WINHTTP.dll
*C:\WINNT\system32\WINTRUST.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\IMAGEHLP.dll
*C:\WINNT\system32\Cabinet.dll
*C:\WINNT\system32\mspatcha.dll
*C:\WINNT\system32\sfc.dll
*C:\WINNT\system32\sfcfiles.dll
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\System32\es.dll
*C:\WINNT\System32\TxfAux.Dll
*C:\WINNT\system32\shell32.dll
*C:\WINNT\system32\msxml3.dll
+1364=C:\WINNT\Explorer.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\shim.dll
*C:\WINNT\AppPatch\AcLayers.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\SHDOCVW.DLL
*C:\WINNT\system32\browseui.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\ntshrui.dll
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\System32\ntlanman.dll
*C:\WINNT\System32\NETUI0.DLL
*C:\WINNT\System32\NETUI1.DLL
*C:\WINNT\system32\NETSHELL.dll
*C:\WINNT\system32\webcheck.dll
*C:\WINNT\system32\stobject.dll
*C:\WINNT\system32\BATMETER.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\POWRPROF.DLL
*C:\WINNT\system32\WINMM.DLL
*C:\WINNT\system32\MSI.DLL
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\WINNT\system32\wdmaud.drv
*C:\WINNT\system32\msacm32.drv
*C:\WINNT\system32\MSACM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\System32\docprop2.dll
*C:\WINNT\System32\MSVFW32.DLL
*C:\WINNT\System32\AVIFIL32.DLL
*C:\WINNT\system32\faxshell.dll
*C:\Programme\WinRAR\rarext.dll
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\Programme\EditPlus 2\eppshell.dll
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\LINKINFO.DLL
*C:\WINNT\system32\CfgMgr32.dll
*C:\WINNT\system32\browselc.dll
*C:\WINNT\system32\RASDLG.dll
*C:\WINNT\system32\MPRAPI.dll
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\RASAPI32.dll
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\rsabase.dll
+1284=C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SHELL32.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\WSOCK32.dll
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\Programme\Kerio\Personal Firewall 4\KTSSLEAY32_0.9.7.2.DLL
*C:\Programme\Kerio\Personal Firewall 4\KTLIBEAY32_0.9.7.2.DLL
*C:\Programme\Kerio\Personal Firewall 4\MSVCR70.dll
*C:\WINNT\system32\rsaenh.dll
*C:\WINNT\system32\USERENV.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\Programme\Kerio\Personal Firewall 4\KTZLIB.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
+1404=C:\Programme\F-Prot\F-StopW.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
+984=C:\WINNT\system32\sstray.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\COMCTL32.dll
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\WINMM.dll
*C:\WINNT\system32\SSTraDE.dll
*C:\WINNT\system32\wdmaud.drv
+1380=C:\Programme\ASUS Probe\AsusProb.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system\VCL35.bpl
*C:\WINNT\system32\kernel32.dll
*C:\WINNT\system32\user32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\advapi32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\oleaut32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\mpr.dll
*C:\WINNT\system32\version.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\comctl32.dll
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\SHELL32.DLL
*C:\WINNT\system32\oledlg.dll
*C:\WINNT\system32\winspool.drv
*C:\WINNT\system\cp3240mt.dll
*C:\WINNT\system\borlndmm.dll
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\Programme\ASUS Probe\CODISK.DLL
*C:\Programme\ASUS Probe\DiskIco.dll
*C:\Programme\ASUS Probe\COLM7578.DLL
*C:\WINNT\system\bcbsmp35.bpl
*C:\WINNT\system\vclx35.bpl
*C:\WINNT\system32\winmm.dll
*C:\Programme\ASUS Probe\Asus.dll
*C:\Programme\ASUS Probe\ASMIAHD.dll
*C:\Programme\ASUS Probe\AsmiCtrl.dll
*C:\Programme\ASUS Probe\ASMIDMI.dll
*C:\Programme\ASUS Probe\AsmiEnum.dll
*C:\Programme\ASUS Probe\AsmiHwIo.dll
*C:\Programme\ASUS Probe\AsmiNvi2.dll
*C:\Programme\ASUS Probe\AsmiAsus.dll
*C:\Programme\ASUS Probe\COLMIco.dll
*C:\Programme\ASUS Probe\CODMI.DLL
+1388=C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\SHLWAPI.dll
+1408=C:\PROGRA~1\MOUSEI~1\MIProHst.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\kernel32.dll
*C:\WINNT\system32\user32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\shell32.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\psapi.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
+1420=C:\Programme\iTunes\iTunesHelper.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\COMCTL32.dll
*C:\Programme\iTunes\iTunesHelper.Resources\de.lproj\iTunesHelperLocalized.DLL
*C:\Programme\iTunes\iTunesHelper.Resources\iTunesHelper.DLL
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\CLBCATQ.DLL
+1424=C:\Programme\iPod\bin\iPodService.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\RPCRT4.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\CFGMGR32.dll
*C:\WINNT\system32\setupapi.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\NETAPI32.dll
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\COMCTL32.dll
*C:\Programme\iPod\bin\iPodService.Resources\de.lproj\iPodServiceLocalized.DLL
*C:\Programme\iPod\bin\iPodService.Resources\iPodService.DLL
*C:\WINNT\system32\CLBCATQ.DLL
+1444=C:\WINNT\system32\RUNDLL32.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\IMAGEHLP.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\System32\NvMcTray.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\NVRSDE.DLL
+1448=C:\WINNT\system32\internat.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\COMCTL32.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\IMM32.dll
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\INDICDLL.dll
+1460=C:\Programme\Nebula\DigiTV\DigiTV.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\WS2_32.dll
*C:\WINNT\system32\MSVCRT.DLL
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\gdiplus.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\POWRPROF.dll
*C:\WINNT\system32\MSIMG32.dll
*C:\WINNT\system32\COMCTL32.dll
*C:\WINNT\system32\WINMM.dll
*C:\WINNT\system32\MSVFW32.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\DDRAW.dll
*C:\WINNT\system32\DCIMAN32.dll
*C:\WINNT\system32\SETUPAPI.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\wdmaud.drv
*C:\WINNT\system32\msacm32.drv
*C:\WINNT\system32\MSACM32.dll
+1536=C:\WINNT\explorer.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\ADVAPI32.DLL
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\shim.dll
*C:\WINNT\AppPatch\AcLayers.DLL
*C:\WINNT\system32\BROWSEUI.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\SHDOCVW.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\WINNT\system32\browselc.dll
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\urlmon.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\ntshrui.dll
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\System32\docprop2.dll
*C:\WINNT\System32\WINMM.DLL
*C:\WINNT\System32\MSVFW32.DLL
*C:\WINNT\System32\AVIFIL32.DLL
*C:\WINNT\System32\MSACM32.dll
*C:\WINNT\system32\faxshell.dll
*C:\WINNT\system32\MSI.DLL
*C:\WINNT\system32\actxprxy.dll
*C:\WINNT\system32\NTMARTA.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\NTDSAPI.dll
*C:\WINNT\system32\mydocs.dll
*C:\Programme\WinSCP3\DragExt.dll
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\shdoclc.dll
+1320=C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\HijackThis\HijackThis.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\WINNT\system32\MSVBVM60.DLL
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\asycfilt.dll
*C:\WINNT\system32\VERSION.DLL
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\shell32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\ntshrui.dll
*C:\WINNT\system32\ATL.DLL
*C:\WINNT\system32\NETAPI32.DLL
*C:\WINNT\system32\SECUR32.DLL
*C:\WINNT\system32\NETRAP.DLL
*C:\WINNT\system32\SAMLIB.DLL
*C:\WINNT\system32\WS2_32.DLL
*C:\WINNT\system32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\system32\DNSAPI.DLL
*C:\WINNT\system32\WSOCK32.DLL
*C:\WINNT\system32\browseui.dll
*C:\WINNT\system32\SHDOCVW.dll
*C:\WINNT\system32\PSAPI.DLL
*C:\WINNT\system32\MSI.DLL
+1552=C:\WINNT\system32\NOTEPAD.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\comdlg32.dll
*C:\WINNT\system32\SHLWAPI.DLL
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\COMCTL32.DLL
*C:\WINNT\system32\SHELL32.DLL
*C:\WINNT\system32\WINSPOOL.DRV
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\OLE32.DLL
*C:\WINNT\system32\OLEAUT32.DLL
*C:\WINNT\system32\CLBCATQ.DLL
+692=C:\Programme\Internet Explorer\IEXPLORE.EXE
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\msvcrt.dll
*C:\WINNT\system32\KERNEL32.dll
*C:\WINNT\system32\USER32.dll
*C:\WINNT\system32\GDI32.DLL
*C:\WINNT\system32\SHLWAPI.dll
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\SHDOCVW.dll
*C:\WINNT\system32\comctl32.dll
*C:\WINNT\system32\SHELL32.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\BROWSEUI.dll
*C:\WINNT\system32\browselc.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\WININET.dll
*C:\WINNT\system32\CRYPT32.dll
*C:\WINNT\system32\MSASN1.DLL
*C:\WINNT\system32\cscui.dll
*C:\WINNT\system32\CSCDLL.DLL
*C:\WINNT\system32\urlmon.dll
*C:\WINNT\system32\VERSION.dll
*C:\WINNT\system32\LZ32.DLL
*C:\WINNT\system32\mshtml.dll
*C:\WINNT\system32\shdoclc.dll
*C:\WINNT\system32\MLANG.dll
*C:\WINNT\system32\msimtf.dll
*C:\WINNT\system32\MSCTF.dll
*C:\WINNT\system32\MSLS31.DLL
*C:\Programme\Microsoft Office\OFFICE11\msohev.dll
*C:\WINNT\system32\MPR.DLL
*C:\WINNT\System32\ntlanman.dll
*C:\WINNT\System32\NETUI0.DLL
*C:\WINNT\System32\NETUI1.DLL
*C:\WINNT\System32\NETAPI32.DLL
*C:\WINNT\System32\SECUR32.DLL
*C:\WINNT\System32\NETRAP.DLL
*C:\WINNT\System32\SAMLIB.DLL
*C:\WINNT\System32\WS2_32.DLL
*C:\WINNT\System32\WS2HELP.DLL
*C:\WINNT\system32\WLDAP32.DLL
*C:\WINNT\System32\DNSAPI.DLL
*C:\WINNT\System32\WSOCK32.DLL
*C:\WINNT\system32\msafd.dll
*C:\WINNT\System32\wshtcpip.dll
*C:\WINNT\system32\RASAPI32.DLL
*C:\WINNT\system32\RASMAN.DLL
*C:\WINNT\system32\TAPI32.DLL
*C:\WINNT\system32\RTUTILS.DLL
*C:\WINNT\system32\USERENV.DLL
*C:\WINNT\system32\rsabase.dll
*C:\WINNT\System32\rnr20.dll
*C:\WINNT\system32\iphlpapi.dll
*C:\WINNT\system32\ICMP.DLL
*C:\WINNT\system32\MPRAPI.DLL
*C:\WINNT\system32\ACTIVEDS.DLL
*C:\WINNT\system32\ADSLDPC.DLL
*C:\WINNT\system32\SETUPAPI.DLL
*C:\WINNT\system32\DHCPCSVC.DLL
*C:\WINNT\System32\winrnr.dll
*C:\WINNT\system32\rasadhlp.dll
*C:\WINNT\system32\mshtmled.dll
*C:\WINNT\system32\jscript.dll
*C:\WINNT\system32\imgutil.dll
*C:\WINNT\system32\pngfilt.dll
*C:\WINNT\system32\actxprxy.dll
*C:\WINNT\system32\plugin.ocx
*C:\WINNT\system32\MSI.DLL
*C:\WINNT\system32\mshtmler.dll
+468=C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\StartDreck\StartDreck.exe
*C:\WINNT\system32\ntdll.dll
*C:\WINNT\system32\KERNEL32.DLL
*C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\StartDreck\VB40032.DLL
*C:\WINNT\system32\ADVAPI32.dll
*C:\WINNT\system32\RPCRT4.DLL
*C:\WINNT\system32\GDI32.dll
*C:\WINNT\system32\USER32.DLL
*C:\WINNT\system32\MSVCRT20.dll
*C:\WINNT\system32\ole32.dll
*C:\WINNT\system32\OLEAUT32.dll
*C:\WINNT\system32\OLEPRO32.DLL
*C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\StartDreck\VB4DE32.DLL
*C:\WINNT\system32\INDICDLL.dll
*C:\WINNT\system32\IMM32.dll
*C:\PROGRA~1\MOUSEI~1\MIPro.dll
*C:\WINNT\system32\CLBCATQ.DLL
*C:\WINNT\system32\MSVCRT.dll
*C:\Dokumente und Einstellungen\marcbaxxter\Desktop\Virenentfernung\StartDreck\PSAPI.DLL
*C:\WINNT\system32\version.dll
*C:\WINNT\system32\LZ32.DLL
»NT Services
*Warndienst Alerter running auto
`binary: C:\WINNT\System32\services.exe
*Anwendungsverwaltung AppMgmt - on demand
`binary: C:\WINNT\system32\services.exe
*ASP.NET-Statusdienst aspnet_state - on demand
`binary: C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
*Intelligenter Hintergrundübertragungsdienst BITS - on demand
`binary: C:\WINNT\System32\svchost.exe -k BITSgroup
*Computerbrowser Browser running auto
`binary: C:\WINNT\System32\services.exe
*Indexdienst cisvc - disabled
`binary: C:\WINNT\system32\cisvc.exe
*Ablagemappe ClipSrv - on demand
`binary: C:\WINNT\system32\clipsrv.exe
*DHCP-Client Dhcp running auto
`binary: C:\WINNT\System32\services.exe
*Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand
`Datenträger
`binary: C:\WINNT\System32\dmadmin.exe /com
*Verwaltung logischer Datenträger dmserver running auto
`binary: C:\WINNT\System32\services.exe
*DNS-Client Dnscache running auto
`binary: C:\WINNT\System32\services.exe
*Ereignisprotokoll Eventlog running auto
`binary: C:\WINNT\system32\services.exe
*COM+-Ereignissystem EventSystem running on demand
`binary: C:\WINNT\System32\svchost.exe -k netsvcs
*F-Prot Antivirus Update Monitor F-Prot Antivirus Upd running auto
`binary: "C:\Programme\F-Prot\fpavupdm.exe"
*Faxdienst Fax - on demand
`binary: C:\WINNT\system32\faxsvc.exe
*InstallDriver Table Manager IDriverT - on demand
`binary: C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
*iPodService iPodService running on demand
`binary: C:\Programme\iPod\bin\iPodService.exe
*Kerio Personal Firewall 4 KPF4 running auto
`binary: C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
*Server lanmanserver running auto
`binary: C:\WINNT\System32\services.exe
*Arbeitsstationsdienst lanmanworkstation running auto
`binary: C:\WINNT\System32\services.exe
*TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto
`binary: C:\WINNT\System32\services.exe
*Machine Debug Manager MDM running auto
`binary: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"
*Nachrichtendienst Messenger running auto
`binary: C:\WINNT\System32\services.exe
*NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand
`binary: C:\WINNT\System32\mnmsrvc.exe
*Distributed Transaction Coordinator MSDTC - on demand
`binary: C:\WINNT\System32\msdtc.exe
*Windows Installer MSIServer - on demand
`binary: C:\WINNT\System32\MsiExec.exe /V
*MWAgent MWAgent running auto
`binary: C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
*Netzwerk-DDE-Dienst NetDDE - on demand
`binary: C:\WINNT\system32\netdde.exe
*Netzwerk-DDE-Serverdienst NetDDEdsdm - on demand
`binary: C:\WINNT\system32\netdde.exe
*Anmeldedienst Netlogon - on demand
`binary: C:\WINNT\System32\lsass.exe
*Netzwerkverbindungen Netman running on demand
`binary: C:\WINNT\System32\svchost.exe -k netsvcs
*NT-LM-Sicherheitsdienst NtLmSsp - on demand
`binary: C:\WINNT\System32\lsass.exe
*Wechselmedien NtmsSvc running auto
`binary: C:\WINNT\System32\svchost.exe -k netsvcs
*NVIDIA Display Driver Service NVSvc running auto
`binary: C:\WINNT\System32\nvsvc32.exe
*O&O Defrag O&O Defrag - disabled
`binary: C:\WINNT\system32\oodag.exe
*Office Source Engine ose - on demand
`binary: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
*Plug & Play PlugPlay running auto
`binary: C:\WINNT\system32\services.exe
*IPSEC-Richtlinienagent PolicyAgent running auto
`binary: C:\WINNT\System32\lsass.exe
*Geschützter Speicher ProtectedStorage running auto
`binary: C:\WINNT\system32\services.exe
*Verwaltung für automatische RAS-Verbindung RasAuto - on demand
`binary: C:\WINNT\System32\svchost.exe -k netsvcs
*RAS-Verbindungsverwaltung RasMan running on demand
`binary: C:\WINNT\System32\svchost.exe -k netsvcs
*Routing und RAS RemoteAccess - disabled
`binary: C:\WINNT\System32\svchost.exe -k netsvcs
*Remote-Registrierungsdienst RemoteRegistry running auto
`binary: C:\WINNT\system32\regsvc.exe
*RPC-Locator RpcLocator - on demand
`binary: C:\WINNT\System32\locator.exe
*Remoteprozeduraufruf (RPC) RpcSs running auto
`binary: C:\WINNT\system32\svchost -k rpcss
*QoS RSVP RSVP - on demand
`binary: C:\WINNT\System32\rsvp.exe -s
*Sicherheitskontenverwaltung SamSs running auto
`binary: C:\WINNT\system32\lsass.exe
*Smartcard-Hilfsprogramm SCardDrv - on demand
`binary: C:\WINNT\System32\SCardSvr.exe
*Smartcard SCardSvr - on demand
`binary: C:\WINNT\System32\SCardSvr.exe
*Taskplaner Schedule running auto
`binary: C:\WINNT\system32\MSTask.exe
*Dienst "Ausführen als" seclogon running auto
`binary: C:\WINNT\system32\services.exe
*Systemereignisbenachrichtigung SENS running auto
`binary: C:\WINNT\system32\svchost.e

#15 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit