Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX.. |
||
---|---|---|
#0
| ||
30.07.2006, 13:52
Ehrenmitglied
Beiträge: 29434 |
||
|
||
30.07.2006, 23:57
Member
Beiträge: 23 |
#77
Sabina,
die searchtoolbar Dinger sind raus. Vielen Dank für die ausführliche Hilfe. Kann ich nur empfehlen. Viele Grüße, Uli |
|
|
||
04.09.2006, 05:24
...neu hier
Beiträge: 5 |
#78
Hallo! Über Google bin ich auf dieses Forum gestossen und ich hoffe, dass mir jemand helfen kann.
Habe mir die Postings hier durchgelesen, aber da ich virentechnisch überhaupt keine Ahnung habe, bin ich allein nicht weitergekommen. Es wäre nett, wenn man mir aus diesem Grund auch alles recht einfach erklären könnte - Danke! Seit einigen Wochen läuft mein PC langsam - habe es auf veraltetes und überfülltes System abgetan. Aber seit heute meldet mein Antivir mir alle paar Minuten den Virus "AR/Agent.RI" und ab und an noch einen weiteren AR-Virus (Namen vergessen - falls er gleich nochmal aufpoppt poste ich ihn noch!). Ausserdem befürchte ich (nach der heutigen Virensuche) noch die Programme NetMonitor und commandservice irgendwo im System zu haben, die wohl auch nicht ganz sauber sind. Hier nun erstmal meine Logfiles und ich hoffe, dass mir damit geholfen werden kann. Schonmal vielen Dank für die Mühe!!! HIGHJACKTHIS LOG: Logfile of HijackThis v1.99.1 Scan saved at 05:19:27, on 04.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\csrss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\Programme\AntiVir PersonalEdition Classic\sched.exe F:\Programme\AntiVir PersonalEdition Classic\avguard.exe F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\wdfmgr.exe F:\WINDOWS\system32\UAService7.exe F:\WINDOWS\System32\alg.exe F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe F:\WINDOWS\system32\ctfmon.exe F:\Programme\AOL 9.0\aoltray.exe F:\WINDOWS\System32\wbem\wmiprvse.exe F:\Programme\Internet Explorer\iexplore.exe F:\Programme\Internet Explorer\iexplore.exe F:\Programme\AOL 9.0\waol.exe F:\Programme\AOL 9.0\shellmon.exe F:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe F:\Dokumente und Einstellungen\Gontermann\Desktop\HJT\HijackThis.exe R3 - URLSearchHook: (no name) - {44C68CF8-3114-9D2F-6396-450504915C93} - barint.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AOLDialer] F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RtlFindVal] RtlFindVal.exe O4 - HKLM\..\Run: [abrek] ERTYDF.exe O4 - HKLM\..\Run: [rxxur.exe] F:\WINDOWS\system32\rxxur.exe O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sound64] syspanel.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = F:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - F:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.125.138.27/activex/AxisCamControl.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{36AE6A79-0AC2-4361-9B24-399572EF194C}: NameServer = 85.255.116.69,85.255.112.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{8B6CF351-BA53-4060-9192-A580F75B0234}: NameServer = 85.255.116.69,85.255.112.110 O17 - HKLM\System\CCS\Services\Tcpip\..\{90F3649E-4D46-4B72-9964-97F3180E4FF2}: NameServer = 205.188.146.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{BC39082B-5A52-4867-BA6D-133873863711}: NameServer = 85.255.116.69,85.255.112.110 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.110 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.110 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - F:\WINDOWS\system32\UAService7.exe ----- Die anderen Logs folgen noch - muss mein System wegen Fixwareoutinstallation wohl jetzt neu starten... ----- Sooo da bin ich wieder. Nachdem Fixwareout sich so langsam durch mein System gekämpft hat kann ich folgende 3 Meldungen von Antivir verkünden: Programm SPR/Fake.KillClea.2 TR/Puper.BX TR/DNSChanq.EF.94.B Ich hoffe, ich muss mein System nicht in die Tonne hauen. Hier nun der Fixwareout-LOG: Fixwareout ver 1.003 Last edited 8/11/2006 Post this report in the forums please Reg Entries that were deleted HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}EA94B85B47F9-246A-82B4-8C5D-4C06CD9E{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}336F83D2D3DA-C959-EFC4-87A8-66A9B3A7{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7B63F1312B49-A3EA-DA14-365D-D7D13100{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}16BD14FB3986-794B-E6B4-155B-C180E696{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D197BDE96636-523A-DD24-A4CF-DD458650{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F95DB96FCF62-7F3B-ED84-9706-A0FA1886{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E32CBC19DA0-3828-02B4-F54C-2D1858DB{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}263E91A49025-2E2A-FB34-671C-89E0FFFA{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CC2D2F297578-1FF9-E174-AFE6-7D1E464E{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}5E965172339A-BE9B-6614-7986-D2691219{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}4AEDFC7134E6-A72A-C3F4-2103-6EE57A9B{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D557029A407D-0E9A-AFC4-3544-DC9E4E9A{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CA8C2CDA97FF-1718-8554-C2F2-6CCB2102{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3F7F41565FFE-4ED8-8CE4-CEF8-800D8C44{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}031ECA6B56ED-3588-D2B4-163A-FD138129{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}90BE3E42ECB1-64FB-8814-FF35-7D7EEAD5{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2C46F971779F-A86A-4C84-FBD3-9FCA36B2{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}345721706D55-339A-E724-97B9-F691C802{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}97EF95AF23F0-2E6B-6024-A935-48F3DF4D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}9E6681ACD460-51D8-A614-65FE-B0DE61D4{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}3FB5A5C963F6-9D6B-08A4-DE2C-B8BDF0F0{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}49B19B83D141-711A-2564-5651-5E752433{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D9D744780787-52FB-3E24-41A5-728EDEC4{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E9B0C2286F25-4979-8604-F542-2F856094{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}E37C7F74C7B4-2A19-E424-CA4E-2A7F1EF1{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}CD53DC8A7986-A5C8-7834-C736-341BD065{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}D7DBCEE012AF-5018-3074-1EB4-7C5B5F6B{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}A68BB99E5FA0-B6FB-7AE4-A304-66BF94D2{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}44EA762394A9-A9E9-A5B4-9EED-7F768FE0{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\easmd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}7F2491F2A60E-2F1B-6194-CD16-20D76D1D{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}56E1A91AE19C-DDBA-07B4-9511-A0ED8C13{ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\onisacputes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol ... Random Runs removed from HKLM "dmsae.exe"=- ... PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. »»»»» Searching by size/names... * csr.exe F:\WINDOWS\System32\CSMGX.EXE »»»»» Search five digit cs, dm and jb files. This WILL/CAN also list Legit Files, Submit them at Virustotal F:\WINDOWS\SYSTEM32\CSMGX.EXE 51.268 2006-09-04 F:\WINDOWS\SYSTEM32\DMSAE.EXE 62.020 2004-08-04 Other suspects. Directory of F:\WINDOWS\system32 {FB3EF417-EF60-4289-8E1D-461F75E51894}.exe {238A98E7-E2B5-45F5-B017-B0DE5010CC13}.exe {6BC84AD0-5DFB-4AA8-A47A-674810E8E71D}.exe {056854DD-FC4A-42DD-A325-63669EDB791D}.exe »»»»» Misc files. »»»»» Checking for older varients covered by the Rem3 tool. ----- Habe Blacklight runtergeladen und gestartet. Hat nichts gefunden glaube ich. Hier das meiner Meinung nach sehr kurze Log: 09/04/06 05:41:27 [Info]: BlackLight Engine 1.0.46 initialized 09/04/06 05:41:27 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/04/06 05:41:27 [Note]: 7019 4 09/04/06 05:41:27 [Note]: 7005 0 09/04/06 05:41:30 [Note]: 7006 0 09/04/06 05:41:30 [Note]: 7011 1700 09/04/06 05:41:31 [Note]: 7026 0 09/04/06 05:41:31 [Note]: 7026 0 09/04/06 05:41:35 [Note]: FSRAW library version 1.7.1019 09/04/06 05:41:35 [Note]: 2000 1006 09/04/06 05:41:35 [Note]: 2000 1006 09/04/06 05:42:05 [Note]: 7007 0 ---- Hier der CleanUp!-Log (zumindest der letzte Teil des Logs) F:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted F:\WINDOWS\Prefetch\HELPSVC.EXE-2878DDA2.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-313A33B0.pf - deleted F:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted F:\WINDOWS\Prefetch\NEROCHECK.EXE-092C6DFA.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-11ACEB5A.pf - deleted F:\WINDOWS\Prefetch\WINACE.EXE-1740FF36.pf - deleted F:\WINDOWS\Prefetch\WMPLAYER.EXE-09969339.pf - deleted F:\WINDOWS\Prefetch\GUARDGUI.EXE-1BD45C30.pf - deleted F:\WINDOWS\Prefetch\SPYBOTSD.EXE-1D495A65.pf - deleted F:\WINDOWS\Prefetch\AD-AWARE.EXE-308139F4.pf - deleted F:\WINDOWS\Prefetch\QTTASK.EXE-2D7EEF34.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-2C5310BB.pf - deleted F:\WINDOWS\Prefetch\AVGNT.EXE-36CA4640.pf - deleted F:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted F:\WINDOWS\Prefetch\CTFMON.EXE-0E17969B.pf - deleted F:\WINDOWS\Prefetch\PHOTOSHOP.EXE-2E1C999E.pf - deleted F:\WINDOWS\Prefetch\ADOBE GAMMA LOADER.EXE-1FD09C3A.pf - deleted F:\WINDOWS\Prefetch\USERINIT.EXE-30B18140.pf - deleted F:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted F:\WINDOWS\Prefetch\AOLDIAL.EXE-051FA1C8.pf - deleted F:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted F:\WINDOWS\Prefetch\AOLTRAY.EXE-30920C50.pf - deleted F:\WINDOWS\Prefetch\ACRORD32.EXE-2525A870.pf - deleted F:\WINDOWS\Prefetch\TASKMGR.EXE-20256C55.pf - deleted F:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted F:\WINDOWS\Prefetch\DUMPREP.EXE-1B46F901.pf - deleted F:\WINDOWS\Prefetch\DWWIN.EXE-30875ADC.pf - deleted F:\WINDOWS\Prefetch\SETUP.EXE-0F40F254.pf - deleted F:\WINDOWS\Prefetch\GWVIDEO.EXE-1777451C.pf - deleted F:\WINDOWS\Prefetch\DFRGFAT.EXE-03D95883.pf - deleted F:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted F:\WINDOWS\Prefetch\GW.EXE-0BF619EC.pf - deleted F:\WINDOWS\Prefetch\CALC.EXE-02CD573A.pf - deleted F:\WINDOWS\Prefetch\LOGON.SCR-151EFAEA.pf - deleted F:\WINDOWS\Prefetch\VISIONS.EXE-203D2AE2.pf - deleted F:\WINDOWS\Prefetch\UPDATER.EXE-218CCD9A.pf - deleted F:\WINDOWS\Prefetch\WMPLAYER.EXE-0996933B.pf - deleted F:\WINDOWS\Prefetch\GW.TMP-015EC9CC.pf - deleted F:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf - deleted F:\WINDOWS\Prefetch\FFVT3R.EXE-156628D7.pf - deleted F:\WINDOWS\Prefetch\XXX.JPG-23DCA48F.pf - deleted F:\WINDOWS\Prefetch\{E9DC60C4-D5C8-4B28-A642-9F74-2DE8355F.pf - deleted F:\WINDOWS\Prefetch\REGSVR32.EXE-25EEFE2F.pf - deleted F:\WINDOWS\Prefetch\{056854DD-FC4A-42DD-A325-6366-14B6E569.pf - deleted F:\WINDOWS\Prefetch\PREUPD.EXE-358AA1C1.pf - deleted F:\WINDOWS\Prefetch\UPDATE.EXE-13D57D76.pf - deleted F:\WINDOWS\Prefetch\OSA9.EXE-07EC1F61.pf - deleted F:\WINDOWS\Prefetch\AVNOTIFY.EXE-22AE9451.pf - deleted F:\WINDOWS\Prefetch\ARMYOPS.EXE-193829D0.pf - deleted F:\WINDOWS\Prefetch\{6BC84AD0-5DFB-4AA8-A47A-6748-00257E51.pf - deleted F:\WINDOWS\Prefetch\IS-08U3N.TMP-1A39AED0.pf - deleted F:\WINDOWS\Prefetch\DEFRAG.EXE-273F131E.pf - deleted F:\WINDOWS\Prefetch\{1F9CC04D-C2EE-4428-A67E-FEBC-341B3C85.pf - deleted F:\WINDOWS\Prefetch\{FB3EF417-EF60-4289-8E1D-461F-311635C9.pf - deleted F:\WINDOWS\Prefetch\{238A98E7-E2B5-45F5-B017-B0DE-25BB8B4B.pf - deleted F:\WINDOWS\Prefetch\CMDINST.EXE-17FD229E.pf - deleted F:\WINDOWS\Prefetch\NETMON.EXE-397BEF2D.pf - deleted F:\WINDOWS\Prefetch\COMMAND.EXE-175C76B7.pf - deleted F:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf - deleted F:\WINDOWS\Prefetch\AVGUARD.EXE-3490B18B.pf - deleted F:\WINDOWS\Prefetch\SCHED.EXE-236A886F.pf - deleted F:\WINDOWS\Prefetch\AVCENTER.EXE-37584419.pf - deleted F:\WINDOWS\Prefetch\AVCONFIG.EXE-3B8B9C26.pf - deleted F:\WINDOWS\Prefetch\AVSCAN.EXE-05AECC0E.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-3A695466.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-16F1748F.pf - deleted F:\WINDOWS\Prefetch\{B9A75EE6-3012-4F3C-A27A-6E43-173851F6.pf - deleted F:\WINDOWS\Prefetch\{2012BCC6-2F2C-4558-8171-FF79-0DD25FAD.pf - deleted F:\WINDOWS\Prefetch\AOL.EXE-2202F9A1.pf - deleted F:\WINDOWS\Prefetch\WAOL.EXE-24E2CCAA.pf - deleted F:\WINDOWS\Prefetch\SHELLMON.EXE-1C0146BB.pf - deleted F:\WINDOWS\Prefetch\AOLTPSPD.EXE-3850049D.pf - deleted F:\WINDOWS\Prefetch\IPCONFIG.EXE-2395F30B.pf - deleted F:\WINDOWS\Prefetch\{5DAEE7D7-53FF-4188-BF46-1BCE-27F2537F.pf - deleted F:\WINDOWS\Prefetch\REGEDIT.EXE-1B606482.pf - deleted F:\WINDOWS\Prefetch\HIJACKTHIS.EXE-01FC75C6.pf - deleted F:\WINDOWS\Prefetch\MMC.EXE-2D2D203D.pf - deleted F:\WINDOWS\Prefetch\{B303DB26-6AD9-4C5E-A6C5-F1B5-1517525C.pf - deleted F:\WINDOWS\Prefetch\IS-VG8HD.TMP-39CE8909.pf - deleted F:\WINDOWS\Prefetch\FIXWAREOUT.EXE-19E5BC75.pf - deleted F:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf - deleted F:\WINDOWS\Prefetch\DOWNLOAD.EXE-1C610F6F.pf - deleted F:\WINDOWS\Prefetch\UNZIP.EXE-1145E526.pf - deleted F:\WINDOWS\Prefetch\BFU.EXE-2407CC54.pf - deleted F:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf - deleted F:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf - deleted F:\WINDOWS\Prefetch\BLBETA.EXE-2BD127E0.pf - deleted F:\WINDOWS\Prefetch\CLEANUP452.EXE-088D9F82.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-2A94BB85.pf - deleted F:\WINDOWS\Prefetch\RUNDLL32.EXE-2E5AF1D7.pf - deleted F:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted F:\WINDOWS\Prefetch\Layout.ini - deleted F:\WINDOWS\Prefetch\IEXPLORE.EXE-2CA9778D.pf - deleted F:\WINDOWS\Prefetch\AOLNYSEV.EXE-26B8BD7B.pf - deleted F:\WINDOWS\Prefetch\AOLNYSEV.EXE-1CC5208B.pf - deleted F:\WINDOWS\Prefetch\TEAMSPEAK.EXE-1C1FA5B1.pf - deleted Emptied Recycle Bin on drive F: 'Run MRU' list - removed from the registry. Search Assistant MRU list - removed from the registry. Explorer Open/Save MRU list - removed from the registry. Explorer Last Visited MRU list - removed from the registry. Paint Recent File List - removed from the registry. WordPad Recent File List - removed from the registry. Telnet's MRU list - removed from the registry. CleanUp! 4.5.2 recovered 649.5 MB of disk space from 4801 files. CleanUp! finished on 09/04/06 05:50:45. ---- Soooo und als letztes noch die DatFind Logs Datentr„ger in Laufwerk F: ist SYSTEM Volumeseriennummer: XXXX-XXXX Verzeichnis von F:\WINDOWS\system32 04.09.2006 05:54 29.204 nvapps.xml 04.09.2006 02:03 278.045 {238A98E7-E2B5-45F5-B017-B0DE5010CC13}.exe 04.09.2006 02:03 705 {FB3EF417-EF60-4289-8E1D-461F75E51894}.exe 04.09.2006 02:03 8.329 {6BC84AD0-5DFB-4AA8-A47A-674810E8E71D}.exe 04.09.2006 01:59 45.568 {056854DD-FC4A-42DD-A325-63669EDB791D}.exe 04.09.2006 01:58 51.268 csmgx.exe 30.08.2006 19:07 2.206 wpa.dbl 21.08.2006 17:25 120.544 FNTCACHE.DAT 06.08.2006 18:18 16.832 amcompat.tlb 06.08.2006 18:18 23.392 nscompat.tlb 30.07.2006 00:50 98.304 CmdLineExt.dll 26.06.2006 00:42 57.384 avsda.dll 04.05.2005 13:39 94.208 China.dll ........ Datentr„ger in Laufwerk F: ist SYSTEM Volumeseriennummer: XXXX-XXXX Verzeichnis von F:\DOKUME~1\GONTER~1\LOKALE~1\Temp ........ Verzeichnis von F:\WINDOWS 04.09.2006 05:26 0 0.log 04.09.2006 05:26 159 wiadebug.log 04.09.2006 05:26 2.048 bootstat.dat 04.09.2006 05:24 32.626 SchedLgU.Txt 04.09.2006 05:24 1.182.971 WindowsUpdate.log 04.09.2006 05:24 50 wiaservc.log 04.09.2006 05:12 766 win.ini 04.09.2006 04:32 246.046 ntbtlog.txt 04.09.2006 02:03 2.116 desktop.html 23.08.2006 23:24 810.287 setupapi.log 20.08.2006 19:52 33.585 DirectX.log 20.08.2006 00:12 54.156 QTFont.qfn 19.08.2006 15:02 1.780 eReg.dat 06.08.2006 18:19 260.658 wmsetup.log 06.08.2006 18:18 242 wmsetup10.log 06.08.2006 18:17 316.640 WMSysPr9.prx 31.07.2006 20:41 202 NeroDigital.ini 16.07.2006 16:17 1.409 QTFont.for 21.06.2006 23:34 3.877 CDPLAYER.INI 11.03.2006 23:52 180.472 setupact.log ....... Datentr„ger in Laufwerk F: ist SYSTEM Volumeseriennummer: XXXX-XXXX Verzeichnis von F:\ 04.09.2006 05:58 0 sys.txt 04.09.2006 05:58 6.274 system.txt 04.09.2006 05:57 129 systemtemp.txt 04.09.2006 05:56 101.762 system32.txt 04.09.2006 05:26 805.306.368 pagefile.sys 29.08.2005 13:57 210 boot.ini 29.08.2005 13:54 251.184 ntldr 29.08.2005 13:54 47.564 NTDETECT.COM 18.08.2001 19:00 4.952 bootfont.bin 9 Datei(en) 805.718.443 Bytes 0 Verzeichnis(se), 6.133.612.544 Bytes frei PS: Falls sich wer wundert: "F" ist mein Systemlaufwerk Sooooo mit den ganzen langen kryptischen Listen kann ich als Laie nicht viel anfangen - aber ein kleines Wunder scheit schon passiert zu sein: Ich meine Windoof wäre schneller gestartet und Antivir hat mich seit dem letzten Neustart nach CleanUp! nicht mehr angebimmelt.... Das macht mich schon etwas hoffnungsvoller! Ich glaub ich lass nochmal Antivir über ales drüberbrezeln und hoffe, dass mein System bald wieder gut läuft. Über eine baldige Antwort wäre ich sehr dankbar! Viele Grüße, DerGonter Dieser Beitrag wurde am 04.09.2006 um 06:05 Uhr von DerGonter editiert.
|
|
|
||
04.09.2006, 12:21
Ehrenmitglied
Beiträge: 29434 |
#79
DerGonter
avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R3 - URLSearchHook: (no name) - {44C68CF8-3114-9D2F-6396-450504915C93} - barint.dll (file missing)PC neustarten ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. ** smitfraud.fix (option 1 und 2) - poste die scanreporte http://virus-protect.org/artikel/tools/smitfrautfix.html ** F-Secure Online Scanner Next Generation Beta http://support.f-secure.com/enu/home/ols3.shtml 1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta". 2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren 3. Installiere diese ActiveX-Komponente 4. Lies die Anleitung und klicke: "Accept" 5. Klicke "Full System Scan" 6. klicke "Show report" - kopiere den Scanreport ** poste das neue log vom HijackTHis ** __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.09.2006, 15:09
...neu hier
Beiträge: 5 |
#80
Vielen Dank für die schnelle Antwort! Dann will ich doch gleich mal die neuen Logs posten:
------ Habe nur ein kleines Problem. Ich haben Avenger durchlaufen lassen und leider vor dem Neustart das LOG.File verschludert. Die Meissten Probleme hat Avenger gelöscht, aber einige konnte der nicht finden und löschen. Wird das LOG-File irgendwo automatisch gespeichert? Ich konnte es leider nicht mehr finden... :-/ ------ Hier ist das SmitfraudFix-Log der Option 1: SmitFraudFix v2.83 Scan done at 15:08:28,96, 04.09.2006 Run from F:\Dokumente und Einstellungen\Gontermann\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» F:\ »»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» F:\Dokumente und Einstellungen\Gontermann\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» F:\DOKUME~1\GONTER~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» F:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End |
|
|
||
04.09.2006, 15:13
Ehrenmitglied
Beiträge: 29434 |
#81
was avenger nicht finden konnte...war nicht vorhanden.
arbeite alles weitere ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.09.2006, 17:01
...neu hier
Beiträge: 5 |
#82
So hier nun das SmitfraudFix-Log der Option 2 im Abgesicherten Modus:
SmitFraudFix v2.83 Scan done at 15:12:23,87, 04.09.2006 Run from F:\Dokumente und Einstellungen\Gontermann\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ------ Soooooooo undnun noch der F-Secure Log: Scanning Report Monday, September 04, 2006 15:26:03 - 16:58:42 Computer name: WZ-STATION Scanning type: Scan system for viruses, rootkits, spyware Target: C:\ F:\ G:\ H:\ -------------------------------------------------------------------------------- Result: 6 malware found Trojan.Win32.DNSChanger.ef (virus) F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047805.EXE (Renamed & Submitted) F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047819.EXE (Renamed) F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047841.EXE (Renamed) F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047864.EXE (Renamed) F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047896.EXE (Renamed) W32/Agent.GWJ (virus) F:\SYSTEM VOLUME INFORMATION\_RESTORE{D6D5BCDF-B50E-46F2-8AFA-307341CE8ECA}\RP269\A0047897.EXE -------------------------------------------------------------------------------- Statistics Scanned: Files: 29668 System: 4286 Not scanned: 2 Actions: Disinfected: 0 Renamed: 5 Deleted: 0 None: 1 Submitted: 1 Files not scanned: F:\PAGEFILE.SYS F:\WINDOWS\SYSTEM32\CONFIG\SECURITY -------------------------------------------------------------------------------- Options Scanning engines: F-Secure AVP: 6.0.171, 2006-09-04 F-Secure Libra: 2.4.1, 2006-09-01 F-Secure Orion: 1.2.37, 2006-09-01 F-Secure Blacklight: 1.0.31, 0000-00-00 F-Secure Pegasus: 1.19.0, 2006-07-30 F-Secure Draco: 1.0.35, 0259-24-212 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX Use Advanced heuristics ----------- Und abschliessend der Highjackthis-Log: Logfile of HijackThis v1.99.1 Scan saved at 17:00:16, on 04.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\Programme\AntiVir PersonalEdition Classic\sched.exe F:\Programme\AntiVir PersonalEdition Classic\avguard.exe F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\UAService7.exe F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe F:\WINDOWS\system32\ctfmon.exe F:\Programme\AOL 9.0\aoltray.exe F:\Programme\Internet Explorer\iexplore.exe F:\Dokumente und Einstellungen\Gontermann\Desktop\HJT\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AOLDialer] F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = F:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with GetRight - F:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - F:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - F:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.125.138.27/activex/AxisCamControl.cab O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{90F3649E-4D46-4B72-9964-97F3180E4FF2}: NameServer = 205.188.146.145 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - F:\WINDOWS\system32\UAService7.exe Nun bin ich mal gespannt... vielen Dank nochmals für die schnellen Antworten! |
|
|
||
04.09.2006, 23:20
Ehrenmitglied
Beiträge: 29434 |
#83
sieht gut aus
1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann wieder aktivieren) 2. poste das log: http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 00:33
...neu hier
Beiträge: 5 |
#84
Hey vielen tausend Dank Sabina! System scheit auch wieder gut zu laufen. Hier nun noch das (lange) Winpfind-Log - hoffe da ist nichts mehr zu finden.
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows sometimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Logfile created on: 05.09.2006 00:25:42 WinPFind v1.5.0 Folder = F:\Dokumente und Einstellungen\Gontermann\Desktop\antivirentools\WinPFind\ Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) Internet Explorer (Version = 6.0.2900.2180) »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 18.08.2001 19:00:00 41118 F:\WINDOWS\SYSTEM32\dfrg.msc () winsync 18.08.2001 19:00:00 1309184 F:\WINDOWS\SYSTEM32\wbdbase.deu () WSUD 02.08.2005 16:35:00 5140480 F:\WINDOWS\SYSTEM32\nvoglnt.dll (NVIDIA Corporation) aspack 22.07.2005 19:59:04 2319568 F:\WINDOWS\SYSTEM32\d3dx9_27.dll (Microsoft Corporation) WSUD 04.08.2004 00:58:08 1228800 F:\WINDOWS\SYSTEM32\ntbackup.exe (Microsoft Corporation) WSUD 04.08.2004 00:58:24 260096 F:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation) UPX! 12.04.2005 20:14:36 20992 F:\WINDOWS\SYSTEM32\kr.exe () Umonitor 04.08.2004 00:57:34 686592 F:\WINDOWS\SYSTEM32\rasdlg.dll (Microsoft Corporation) aspack 04.08.2004 00:57:10 733696 F:\WINDOWS\SYSTEM32\ntdll.dll (Microsoft Corporation) Checking %System%\Drivers folder and sub-folders... PTech 03.08.2004 22:41:38 1309184 F:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys (Smart Link) Items found in F:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 04.09.2006 19:03:38 H 54156 F:\WINDOWS\QTFont.qfn () 04.09.2006 15:16:52 S 2048 F:\WINDOWS\bootstat.dat () 05.09.2006 00:18:42 H 1024 F:\WINDOWS\system32\config\system.LOG () 05.09.2006 00:25:48 H 1024 F:\WINDOWS\system32\config\software.LOG () 04.09.2006 19:02:38 H 1024 F:\WINDOWS\system32\config\default.LOG () 04.09.2006 15:17:02 H 1024 F:\WINDOWS\system32\config\SAM.LOG () 05.09.2006 00:10:16 H 1024 F:\WINDOWS\system32\config\SECURITY.LOG () 27.08.2006 23:49:44 HS 24 F:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred () 27.08.2006 23:49:44 HS 388 F:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\1de29ee2-1271-42e4-9f07-f9eab3a84c54 () 19.08.2006 23:27:28 H 10820 F:\WINDOWS\Help\update.GID () 04.09.2006 15:16:54 H 6 F:\WINDOWS\Tasks\SA.DAT () Checking for CPL files... 29.08.2005 14:30:46 25088 F:\WINDOWS\SYSTEM32\prefscpl.cpl (RealNetworks, Inc.) 20.01.2004 15:10:52 324608 F:\WINDOWS\SYSTEM32\QuickTime.cpl (Apple Computer, Inc.) 04.08.2004 00:58:24 359424 F:\WINDOWS\SYSTEM32\inetcpl.cpl (Microsoft Corporation) 04.08.2004 00:58:24 133120 F:\WINDOWS\SYSTEM32\intl.cpl (Microsoft Corporation) 04.08.2004 00:58:24 69632 F:\WINDOWS\SYSTEM32\joy.cpl (Microsoft Corporation) 18.08.2001 19:00:00 189440 F:\WINDOWS\SYSTEM32\main.cpl (Microsoft Corporation) 04.08.2004 00:58:24 625152 F:\WINDOWS\SYSTEM32\mmsys.cpl (Microsoft Corporation) 18.08.2001 19:00:00 35840 F:\WINDOWS\SYSTEM32\ncpa.cpl (Microsoft Corporation) 18.08.2001 19:00:00 38400 F:\WINDOWS\SYSTEM32\nwc.cpl (Microsoft Corporation) 18.08.2001 19:00:00 28160 F:\WINDOWS\SYSTEM32\telephon.cpl (Microsoft Corporation) 26.05.2005 04:16:22 174872 F:\WINDOWS\SYSTEM32\wuaucpl.cpl (Microsoft Corporation) 02.08.2005 16:35:00 73728 F:\WINDOWS\SYSTEM32\nvtuicpl.cpl () 04.08.2004 00:58:24 555008 F:\WINDOWS\SYSTEM32\appwiz.cpl (Microsoft Corporation) 04.08.2004 00:58:24 157184 F:\WINDOWS\SYSTEM32\hdwwiz.cpl (Microsoft Corporation) 04.08.2004 00:58:24 381440 F:\WINDOWS\SYSTEM32\irprops.cpl (Microsoft Corporation) 04.08.2004 00:58:24 117248 F:\WINDOWS\SYSTEM32\powercfg.cpl (Microsoft Corporation) 04.08.2004 00:58:24 32768 F:\WINDOWS\SYSTEM32\odbccp32.cpl (Microsoft Corporation) 04.08.2004 00:58:24 260096 F:\WINDOWS\SYSTEM32\nusrmgr.cpl (Microsoft Corporation) 04.08.2004 00:58:24 70656 F:\WINDOWS\SYSTEM32\access.cpl (Microsoft Corporation) 04.08.2004 00:58:24 148480 F:\WINDOWS\SYSTEM32\wscui.cpl (Microsoft Corporation) 04.08.2004 00:58:24 25600 F:\WINDOWS\SYSTEM32\netsetup.cpl (Microsoft Corporation) 04.08.2004 00:58:24 80384 F:\WINDOWS\SYSTEM32\firewall.cpl (Microsoft Corporation) 04.08.2004 00:58:24 110592 F:\WINDOWS\SYSTEM32\bthprops.cpl (Microsoft Corporation) 04.08.2004 00:58:24 303104 F:\WINDOWS\SYSTEM32\sysdm.cpl (Microsoft Corporation) 04.08.2004 00:58:24 138240 F:\WINDOWS\SYSTEM32\desk.cpl (Microsoft Corporation) 04.08.2004 00:58:24 94208 F:\WINDOWS\SYSTEM32\timedate.cpl (Microsoft Corporation) 26.05.2005 04:16:22 174872 F:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl (Microsoft Corporation) 18.08.2001 19:00:00 38400 F:\WINDOWS\SYSTEM32\dllcache\nwc.cpl (Microsoft Corporation) 18.08.2001 19:00:00 35840 F:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl (Microsoft Corporation) 18.08.2001 19:00:00 189440 F:\WINDOWS\SYSTEM32\dllcache\main.cpl (Microsoft Corporation) 18.08.2001 19:00:00 28160 F:\WINDOWS\SYSTEM32\dllcache\telephon.cpl (Microsoft Corporation) Checking for Downloaded Program Files... {166B1BCA-3F9C-11CF-8075-444553540000} - Shockwave ActiveX Control - CodeBase = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - CamImage Class - CodeBase = http://217.125.138.27/activex/AxisCamControl.cab {9D190AE6-C81E-4039-8061-978EBAD10073} - F-Secure Online Scanner 3.0 - CodeBase = http://support.f-secure.com/ols3/fscax.cab {D27CDB6E-AE6D-11CF-96B8-444553540000} - - CodeBase = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab DirectAnimation Java Classes - - CodeBase = file://F:\WINDOWS\Java\classes\dajava.cab Microsoft XML Parser for Java - - CodeBase = file://F:\WINDOWS\Java\classes\xmldso.cab »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 29.08.2005 16:27:26 910 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk () 29.08.2005 14:31:22 616 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk () 29.08.2005 13:39:10 HS 84 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini () 06.12.2005 20:45:06 1619 F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk () Checking files in %ALLUSERSPROFILE%\Application Data folder... 28.02.2006 17:06:20 305 F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html () 29.08.2005 13:22:18 HS 62 F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini () Checking files in %USERPROFILE%\Startup folder... 29.08.2005 13:39:10 HS 84 F:\Dokumente und Einstellungen\Gontermann\Startmenü\Programme\Autostart\desktop.ini () Checking files in %USERPROFILE%\Application Data folder... 29.08.2005 13:22:18 HS 62 F:\Dokumente und Einstellungen\Gontermann\Anwendungsdaten\desktop.ini () »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» >>> Internet Explorer Settings <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] \\Start Page - http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home \\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch \\Default_Page_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome \\Default_Search_URL - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch \\Local Page - F:\windows\system32\blank.htm [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] \\Start Page - about:blank \\Search Page - http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch \\Local Page - F:\WINDOWS\system32\blank.htm [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] \\CustomizeSearch - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm \\SearchAssistant - http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] \\{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Microsoft Url Sucheingriff = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation) >>> BHO's <<< [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] \{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - AcroIEHlprObj Class = F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) >>> Internet Explorer Bars, Toolbars and Extensions <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] \{4D5C8C25-D075-11d0-B416-00C04FB90376} - &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll (Microsoft Corporation) \{FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - Real.com = F:\WINDOWS\system32\Shdocvw.dll (Microsoft Corporation) [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] \{32683183-48a0-441b-a342-7c2a440a9478} - = () [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] \ShellBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) \WebBrowser\\{01E04581-4EEE-11D0-BFE9-00AA005B4383} - &Adresse = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) \WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383} - &Links = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation) [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\CmdMapping] \\{FB5F1910-F110-11d2-BB9E-00C04F795683} - 8192 = Windows Messenger \\NEXTID - 8195 \\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - 8193 = \\{BF69DF00-2734-477F-8257-27CD04F88779} - 8194 = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] \{CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - ButtonText: Real.com = \{FB5F1910-F110-11d2-BB9E-00C04F795683} - ButtonText: Messenger = F:\Programme\Messenger\msmsgs.exe (Microsoft Corporation) >>> Approved Shell Extensions (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] \\{42071714-76d4-11d1-8b24-00a0c9068ff3} - CPL-Erweiterung für Anzeigeverschiebung = deskpan.dll () \\{764BF0E1-F219-11ce-972D-00AA00A14F56} - Shellerweiterungen für die Dateikomprimierung = () \\{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Kontextmenü für die Verschlüsselung = () \\{88895560-9AA2-1069-930E-00AA0030EBC8} - Erweiterung für HyperTerminal-Icons = F:\WINDOWS\System32\hticons.dll (Hilgraeve, Inc.) \\{0DF44EAA-FF21-4412-828E-260A8728E7F1} - Taskleiste und Startmenü = () \\{32683183-48a0-441b-a342-7c2a440a9478} - Media Band = () \\{7A9D77BD-5403-11d2-8785-2E0420524153} - Benutzerkonten = () \\{8FF88D21-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 Context Menu Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH) \\{8FF88D25-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 DragDrop Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH) \\{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 Context Menu Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH) \\{8FF88D23-7BD0-11D1-BFB7-00AA00262A11} - WinAce Archiver 2.5 Property Sheet Shell Extension = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH) \\{A5110426-177D-4e08-AB3F-785F10B4439C} - Sony Ericsson Datei-Manager = F:\Programme\Sony Ericsson\Mobile\File Manager\fmgrgui.dll (Sony Ericsson Mobile Communications AB) \\{A70C977A-BF00-412C-90B7-034C51DA2439} - NvCpl DesktopContext Class = F:\WINDOWS\system32\nvcpl.dll (NVIDIA Corporation) \\{FFB699E0-306A-11d3-8BD1-00104B6F7516} - Play on my TV helper = F:\WINDOWS\system32\nvcpl.dll (NVIDIA Corporation) \\{1CDB2949-8F65-4355-8456-263E7C208A5D} - Desktop Explorer = F:\WINDOWS\system32\nvshell.dll () \\{1E9B04FB-F9E5-4718-997B-B8DA88302A47} - Desktop Explorer Menu = F:\WINDOWS\system32\nvshell.dll () \\{1E9B04FB-F9E5-4718-997B-B8DA88302A48} - nView Desktop Context Menu = F:\WINDOWS\system32\nvshell.dll () \\{B41DB860-8EE4-11D2-9906-E49FADC173CA} - WinRAR shell extension = F:\Programme\WinRAR\rarext.dll () \\{46E22146-59C0-4136-9233-52E412E2B428} - EzCddax extension = F:\Programme\Easy CD-DA Extractor 8\ezcddax8.dll () \\{45AC2688-0253-4ED8-97DE-B5370FA7D48A} - Shell Extension for Malware scanning = F:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] \\{BDEADF00-C265-11d0-BCED-00A0C90AB50F} - = F:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL () >>> Context Menu Handlers (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\Software\Classes\*\shellex\ContextMenuHandlers] \EzCddax - {46E22146-59C0-4136-9233-52E412E2B428} = F:\Programme\Easy CD-DA Extractor 8\ezcddax8.dll () \Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = F:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH) \WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\Programme\WinRAR\rarext.dll () \ZFAdd - {8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH) [HKEY_LOCAL_MACHINE\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers] [HKEY_LOCAL_MACHINE\Software\Classes\Directory\shellex\ContextMenuHandlers] \WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\Programme\WinRAR\rarext.dll () \ZFAdd - {8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Sicherungen\WinAce\arcext.dll (e-merge GmbH) [HKEY_LOCAL_MACHINE\Software\Classes\Directory\BackGround\shellex\ContextMenuHandlers] \00nView - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} = F:\WINDOWS\system32\nvshell.dll () \NvCplDesktopContext - {A70C977A-BF00-412C-90B7-034C51DA2439} = F:\WINDOWS\system32\nvcpl.dll (NVIDIA Corporation) [HKEY_LOCAL_MACHINE\Software\Classes\Folder\shellex\ContextMenuHandlers] \Shell Extension for Malware scanning - {45AC2688-0253-4ED8-97DE-B5370FA7D48A} = F:\Programme\AntiVir PersonalEdition Classic\shlext.dll (H+BEDV Datentechnik GmbH) \WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} = F:\Programme\WinRAR\rarext.dll () >>> Column Handlers (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] >>> Registry Run Keys <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] AOLDialer - F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe (America Online, Inc) NeroFilterCheck - F:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) avgnt - F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe (Avira GmbH) NvCplDaemon - RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll () QuickTime Task - F:\Programme\QuickTime\qttask.exe (Apple Computer, Inc.) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] IMAIL Installed = 1 MAPI Installed = 1 MSFS Installed = 1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE - F:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation) Steam - Reg Data missing or invalid () [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] >>> Startup Links <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common Startup] F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk - F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk - F:\Programme\AOL 9.0\aoltray.exe (America Online, Inc.) F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini () F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk - F:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation) [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Startup] F:\Dokumente und Einstellungen\Gontermann\Startmenü\Programme\Autostart\desktop.ini () >>> MSConfig Disabled Items <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [All Users Startup Folder Disabled Items] [Current User Startup Folder Disabled Items] >>> User Agent Post Platform <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] \\SV1 - >>> AppInit Dll's <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs] >>> Image File Execution Options <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] \Your Image File Name Here without a path - Debugger = ntsd -d >>> Shell Service Object Delay Load <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] \\PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation) \\CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll (Microsoft Corporation) \\WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll (Microsoft Corporation) \\SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} = F:\WINDOWS\System32\stobject.dll (Microsoft Corporation) >>> Shell Execute Hooks <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] \\{AEB6717E-7E19-11d0-97EE-00C04FD91972} - URL Exec Hook = shell32.dll (Microsoft Corporation) >>> Shared Task Scheduler <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] \\{438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) \\{8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon = %SystemRoot%\System32\browseui.dll (Microsoft Corporation) >>> Winlogon <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] \\UserInit = F:\WINDOWS\system32\userinit.exe, \\Shell = Explorer.exe \\System = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] \crypt32chain - crypt32.dll = (Microsoft Corporation) \cryptnet - cryptnet.dll = (Microsoft Corporation) \cscdll - cscdll.dll = (Microsoft Corporation) \ScCertProp - wlnotify.dll = (Microsoft Corporation) \Schedule - wlnotify.dll = (Microsoft Corporation) \sclgntfy - sclgntfy.dll = (Microsoft Corporation) \SensLogn - WlNotify.dll = (Microsoft Corporation) \termsrv - wlnotify.dll = (Microsoft Corporation) \wlballoon - wlnotify.dll = (Microsoft Corporation) >>> DNS Name Servers <<< >>> All Winsock2 Catalogs <<< [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] \000000000001\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation) \000000000002\\LibraryPath - %SystemRoot%\System32\winrnr.dll (Microsoft Corporation) \000000000003\\LibraryPath - %SystemRoot%\System32\mswsock.dll (Microsoft Corporation) [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries] \000000000001\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000002\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000003\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000004\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation) \000000000005\\PackedCatalogItem - %SystemRoot%\system32\rsvpsp.dll (Microsoft Corporation) \000000000006\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000007\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000008\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000009\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000010\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000011\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000012\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000013\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000014\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000015\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000016\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000017\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000018\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) \000000000019\\PackedCatalogItem - %SystemRoot%\system32\mswsock.dll (Microsoft Corporation) >>> Protocol Handlers (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler] \ipp - () \msdaipp - () >>> Protocol Filters (Non-Microsoft Only) <<< [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter] >>> Selected AddOn's <<< »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» |
|
|
||
05.09.2006, 13:04
Ehrenmitglied
Beiträge: 29434 |
#85
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten http://www.virustotal.com/flash/index_en.html F:\WINDOWS\SYSTEM32\kr.exe poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.09.2006, 21:11
...neu hier
Beiträge: 5 |
#86
STATUS: FINISHEDComplete scanning result of "kr.exe", received in VirusTotal at 09.05.2006, 21:01:02 (CET).
Antivirus Version Update Result AntiVir 7.1.1.11 09.05.2006 no virus found Authentium 4.93.8 09.03.2006 no virus found Avast 4.7.844.0 09.04.2006 no virus found AVG 386 09.05.2006 no virus found BitDefender 7.2 09.05.2006 no virus found CAT-QuickHeal 8.00 09.05.2006 no virus found ClamAV devel-20060426 09.05.2006 no virus found DrWeb 4.33 09.05.2006 no virus found eTrust-InoculateIT 23.72.115 09.04.2006 no virus found eTrust-Vet 30.3.3063 09.05.2006 no virus found Ewido 4.0 09.05.2006 no virus found Fortinet 2.77.0.0 09.04.2006 no virus found F-Prot 3.16f 09.04.2006 no virus found F-Prot4 4.2.1.29 09.04.2006 no virus found Ikarus 0.2.65.0 09.05.2006 no virus found Kaspersky 4.0.2.24 09.05.2006 no virus found McAfee 4845 09.05.2006 no virus found Microsoft 1.1560 09.05.2006 no virus found NOD32v2 1.1740 09.05.2006 no virus found Norman 5.90.23 09.05.2006 no virus found Panda 9.0.0.4 09.05.2006 no virus found Sophos 4.09.0 09.05.2006 no virus found Symantec 8.0 09.05.2006 no virus found TheHacker 5.9.8.204 09.04.2006 no virus found UNA 1.83 09.05.2006 no virus found VBA32 3.11.1 09.05.2006 no virus found VirusBuster 4.3.7:9 09.05.2006 no virus found Aditional Information File size: 20992 bytes MD5: 5bbe3357753e2f8ce8d5dac6cae54e5c SHA1: 24695526d199704d626daa18d4f4f371ae8d7204 packers: UPX Bin ja nicht der Experte, aber das sieht doch gut aus, richtig??? ;-) |
|
|
||
06.09.2006, 00:21
Ehrenmitglied
Beiträge: 29434 |
#87
nun gut, ich denke, dass wieder alls o.k. ist
wenn es noch Probleme geben sollte...melde dich das behalte mal im Auge... in zwei Monaten noch mal ueberpruefen lassen.... UPX! 12.04.2005 20:14:36 20992 F:\WINDOWS\SYSTEM32\kr.exe () __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - SearchToolbar (loeschen)
HKEY_USERS\S-1-5-21-3502422098-1231007713-3040123213-1012\Software\SearchToolbar
HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar
PC neustarten
ich habe auch den Sygate, ich lasse diese zwei Meldungen zu.
Zitat
----------------es sollte wieder alles in Ordnung sein
__________
MfG Sabina
rund um die PC-Sicherheit