Home » Spyware & Browser Hijacker Support Forum » Virus Alert! Schaffs nicht allein :/ » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Virus Alert! Schaffs nicht allein :/

Thema ist geschlossen!

15.07.2006, 01:44

Nightelv

Member

Beiträge: 12

#1 Hi, hab mich etz schon seit paar stunden hier durchs forum gejagt und komm nicht richtig zu nem ergebnis.
hier mien hijack file...

Logfile of HijackThis v1.99.1
Scan saved at 01:43:12, on 15.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SMANTE~1\wuaclt.exe
C:\WINDOWS\system32\??pPatch\t?skmgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Dokumente und Einstellungen\Markus\Desktop\Avenger - SmitFraud\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - {DC294C79-A5B4-D36F-CD3A-FDBAA9644CC7} - C:\WINDOWS\System32\rzowa.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt0.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CA522F40-9DDD-E855-F7CB-922C806F5F9D} - C:\WINDOWS\System32\joowyt.dll (file missing)
O2 - BHO: (no name) - {DC294C79-A5B4-D36F-CD3A-FDBAA9644CC7} - C:\WINDOWS\System32\rzowa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Rlos] "C:\PROGRA~1\SMANTE~1\wuaclt.exe" -vt yax
O4 - HKCU\..\Run: [Szqyxt] C:\WINDOWS\system32\??pPatch\t?skmgr.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Excel\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://s1.teamlearn.de/qp2.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winwel32 - C:\WINDOWS\SYSTEM32\winwel32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\System32\pmnqguh.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

soviel dürfte eigetnlich nicht "kaputt" sein

mfg Nightelv

15.07.2006, 01:47

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Nightelv

1.
stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

4.
Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\t?skmgr*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\wuaclt*.*" > c:\find.txt & start notepad c:\find.txt

«
__________
MfG Sabina

rund um die PC-Sicherheit

15.07.2006, 02:22

Nightelv

Member

Themenstarter

Beiträge: 12

#3 Hi Sabina, schonmal danke im voraus

Die Logs vom DataFindiDingsi

(noch kann ich lachen)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\WINDOWS\system32

14.07.2006 23:44 2.206 wpa.dbl
13.07.2006 14:40 14.292 KGyGaAvL.sys
12.07.2006 17:01 2 wcpcc.exe
04.07.2006 03:53 98.304 CmdLineExt.dll
04.07.2006 03:33 1 SI.bin
15.06.2006 18:11 41.536 perfc009.dat
15.06.2006 18:11 314.622 perfh009.dat
15.06.2006 18:11 319.852 perfh007.dat
15.06.2006 18:11 49.762 perfc007.dat
15.06.2006 18:11 731.862 PerfStringBackup.INI
09.06.2006 19:34 15.317 winwel32.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 56.832 pxinsa64.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\DOKUME~1\Markus\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\WINDOWS

15.07.2006 02:12 0 0.log
15.07.2006 02:11 50 wiaservc.log
15.07.2006 02:11 159 wiadebug.log
15.07.2006 02:10 2.048 bootstat.dat
15.07.2006 02:09 32.578 SchedLgU.Txt
15.07.2006 01:24 177.925 setupact.log
15.07.2006 00:48 435 system.ini
15.07.2006 00:48 580 win.ini
15.07.2006 00:45 579.330 ntbtlog.txt
13.07.2006 14:42 10.240 Thumbs.db
10.07.2006 18:05 54.156 QTFont.qfn
08.07.2006 15:34 839.921 setupapi.log
08.07.2006 13:04 303 NetScan.ini
04.07.2006 13:27 480.572 wmsetup.log
04.07.2006 03:53 237.360 Directx.log
04.07.2006 00:22 122 Winchat.ini
03.07.2006 19:04 316.640 WMSysPr9.prx
03.07.2006 18:21 1.125 Winamp.ini
03.07.2006 00:04 1.409 QTFont.for
24.06.2006 14:58 400 ODBC.INI
22.06.2006 22:23 6.913 EAConfigInfo.txt
15.06.2006 17:33 1.452 LUINSTALL.LOG
06.06.2006 20:50 1.042 ARCHPR.INI
10.05.2006 17:15 13.275 mozver.dat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\

15.07.2006 02:15 0 sys.txt
15.07.2006 02:15 6.089 system.txt
15.07.2006 02:14 134 systemtemp.txt
15.07.2006 02:13 94.401 system32.txt
15.07.2006 02:10 805.306.368 pagefile.sys
15.07.2006 00:52 3.418 avenger.txt
15.07.2006 00:48 194 boot.ini
15.07.2006 00:44 2.185 rapport.txt
17.05.2006 18:25 0 favicon.ico

------------------------------------------------------

listen.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
16.03.2004 01:55 503.808 qp2.dll
20.02.2004 12:42 160 qp2.inf
08.12.2003 13:58 3.759 swflash.inf
27.10.2002 20:32 3.036 wmv9dmo.inf
6 Datei(en) 512.622 Bytes
0 Verzeichnis(se), 8.676.429.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp

15.07.2006 02:13 <DIR> .
15.07.2006 02:13 <DIR> ..
15.07.2006 02:13 <DIR> Reoo
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 8.676.425.728 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\WINDOWS\Temp

15.07.2006 02:13 <DIR> .
15.07.2006 02:13 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.676.425.728 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Temp

24.03.2005 17:24 <DIR> .
24.03.2005 17:24 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.676.425.728 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme

15.07.2006 02:11 <DIR> .
15.07.2006 02:11 <DIR> ..
08.03.2006 18:25 <DIR> Adobe
06.11.2003 21:52 <DIR> Ahead
15.03.2005 18:40 <DIR> Alcohol Soft
02.08.2005 16:55 <DIR> AliveMedia
09.06.2006 18:11 <DIR> AntiVir PersonalEdition Classic
10.11.2004 23:26 <DIR> Audio Tagging Tools
18.10.2003 16:50 <DIR> AvRack
13.07.2006 14:03 <DIR> Azureus
11.03.2004 21:06 <DIR> BitTorrent
24.06.2006 16:54 <DIR> blueprint
02.08.2005 03:35 <DIR> BPFTP
07.04.2006 15:16 <DIR> Cain
15.07.2006 02:04 <DIR> CleanUp!
18.10.2003 16:10 <DIR> ComPlus Applications
15.06.2006 23:20 <DIR> Cowabanga
03.07.2004 17:26 <DIR> CyberLink
02.03.2006 18:12 <DIR> Datel
26.12.2003 21:19 <DIR> directx
24.08.2004 01:40 <DIR> DivX
03.07.2004 17:25 <DIR> DVD Genie
17.05.2006 16:53 <DIR> DynDNS Updater
06.06.2006 20:43 <DIR> ElcomSoft
29.03.2006 18:07 <DIR> Ethereal
13.05.2006 13:09 <DIR> FaJo
12.06.2005 00:38 <DIR> FileZilla
12.06.2005 00:59 <DIR> FileZilla Server
15.07.2006 02:11 <DIR> Gemeinsame Dateien
02.11.2004 02:09 <DIR> GetRight
18.10.2003 16:12 <DIR> Internet Explorer
11.04.2006 13:41 <DIR> iPod
11.04.2006 13:43 <DIR> iTunes
18.10.2003 17:20 <DIR> Java
08.01.2005 01:35 <DIR> Java Web Start
09.06.2006 20:08 <DIR> Lavasoft
31.03.2005 16:56 <DIR> Logitech
11.06.2006 23:01 <DIR> Maxis
09.06.2006 16:36 <DIR> Media-Codec
03.07.2004 17:26 <DIR> Medion Home CinemaXL
08.01.2005 01:35 <DIR> Messenger
18.10.2003 16:14 <DIR> microsoft frontpage
20.12.2004 02:44 <DIR> Microsoft Office
08.01.2005 01:35 <DIR> Movie Maker
15.07.2006 02:12 <DIR> Mozilla Firefox
03.07.2006 03:57 <DIR> Mozilla Thunderbird
20.04.2005 17:24 <DIR> mozilla.org
18.10.2003 16:09 <DIR> MSN
18.10.2003 16:09 <DIR> MSN Gaming Zone
13.06.2005 16:35 <DIR> MSN Messenger
18.10.2003 16:11 <DIR> NetMeeting
02.07.2006 22:05 <DIR> Norton AntiVirus
24.05.2005 00:05 <DIR> Oberon Media
18.10.2003 16:09 <DIR> Online Services
18.10.2003 16:12 <DIR> Online-Dienste
18.10.2003 16:11 <DIR> Outlook Express
11.04.2006 13:44 <DIR> QuickTime
18.10.2003 16:50 <DIR> Realtek Sound Manager
08.06.2005 22:39 <DIR> RouterControl
10.04.2005 12:23 <DIR> SiSoftware
09.07.2006 01:04 <DIR> SkinBuilder
24.06.2006 18:35 <DIR> Smart Projects
15.06.2006 17:59 <DIR> Symantec
15.06.2006 17:58 <DIR> SymNetDrv
01.07.2006 14:44 <DIR> S?mantec
19.12.2004 03:45 <DIR> Teamspeak2_RC2
04.07.2006 03:33 <DIR> Ubisoft
25.06.2006 01:30 <DIR> uTorrent
21.07.2005 21:23 <DIR> VideoLAN
13.05.2006 12:18 <DIR> VMware
18.07.2004 12:43 <DIR> WexTech
19.03.2004 17:31 <DIR> WinAce
26.03.2005 16:00 <DIR> Winamp3
28.11.2004 15:58 <DIR> Windows Media Components
03.07.2006 19:05 <DIR> Windows Media Player
18.10.2003 16:09 <DIR> Windows NT
29.03.2006 18:06 <DIR> WinPcap
18.10.2003 16:14 <DIR> xerox
12.08.2005 22:52 <DIR> YVD
26.06.2006 18:11 <DIR> ?icrosoft
0 Datei(en) 0 Bytes
80 Verzeichnis(se), 8.676.421.632 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Anwendungsdaten

08.03.2006 18:22 <DIR> Adobe
11.04.2006 13:45 <DIR> Apple Computer
25.06.2006 01:36 <DIR> Azureus
12.01.2005 23:43 <DIR> BPFTP
06.07.2004 16:04 <DIR> CyberLink
10.05.2006 16:26 <DIR> dvdcss
29.03.2006 18:19 <DIR> Ethereal
27.11.2003 17:57 <DIR> Help
03.02.2005 16:29 <DIR> ICQ
03.02.2005 16:29 <DIR> ICQLite
18.10.2003 16:19 <DIR> Identities
26.12.2003 21:25 <DIR> InterTrust
17.05.2006 16:54 <DIR> Kana Solution
09.06.2006 20:09 <DIR> Lavasoft
02.07.2006 21:36 <DIR> Macromedia
20.04.2005 17:30 <DIR> Mozilla
08.06.2005 23:15 <DIR> MSN6
14.06.2005 20:12 <DIR> Opera
21.02.2005 00:37 <DIR> Skype
24.01.2004 15:13 <DIR> Symantec
10.01.2005 17:50 <DIR> Talkback
19.12.2004 03:45 <DIR> teamspeak2
22.01.2006 18:00 <DIR> Thunderbird
15.07.2006 00:41 <DIR> uTorrent
21.07.2005 21:44 <DIR> vlc
15.07.2006 01:49 <DIR> VMware
25.06.2006 01:18 <DIR> ?ystem
0 Datei(en) 0 Bytes
27 Verzeichnis(se), 8.676.421.632 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme\Gemeinsame Dateien

15.07.2006 02:11 <DIR> .
15.07.2006 02:11 <DIR> ..
08.03.2006 18:25 <DIR> Adobe
14.06.2005 20:02 <DIR> Adobe Systems Shared
18.10.2005 23:33 <DIR> Designer
18.10.2003 16:11 <DIR> Dienste
16.11.2004 17:23 <DIR> DirectX
02.03.2006 18:33 <DIR> InstallShield
18.07.2004 12:43 <DIR> LHSPF
31.03.2005 16:40 <DIR> Logitech
18.10.2005 23:34 <DIR> Microsoft Shared
18.10.2003 16:11 <DIR> MSSoap
04.01.2004 03:39 <DIR> NewSettler Software Productions
22.08.2005 23:03 <DIR> NSV
18.10.2003 17:02 <DIR> ODBC
15.03.2005 23:43 <DIR> Real
18.10.2003 17:02 <DIR> SpeechEngines
26.03.2005 03:21 <DIR> Stardock
21.06.2006 14:25 <DIR> Symantec Shared
18.10.2003 16:11 <DIR> System
18.07.2004 12:43 <DIR> WexTech Shared
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 8.676.417.536 Bytes frei

------------------------------------------

einmal das task dingsi

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von c:\WINDOWS\Help

29.08.2002 14:00 41.597 taskmgr.chm
29.08.2002 14:00 13.481 taskmgr.hlp
2 Datei(en) 55.078 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

15.07.2006 02:12 13.698 TASKMGR.EXE-20256C55.pf
1 Datei(en) 13.698 Bytes

Verzeichnis von c:\WINDOWS\system32

29.08.2002 14:00 133.632 taskmgr.exe
1 Datei(en) 133.632 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

29.08.2002 14:00 133.632 taskmgr.exe
1 Datei(en) 133.632 Bytes

Verzeichnis von c:\WINDOWS\system32\??pPatch

28.06.2006 17:10 495.616 t?skmgr.exe
1 Datei(en) 495.616 Bytes

Anzahl der angezeigten Dateien:
6 Datei(en) 831.656 Bytes
0 Verzeichnis(se), 8.676.409.344 Bytes frei
------------------------------------------------------

und das wuaclt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von c:\Programme\S?mantec

01.07.2006 14:44 71.680 wuaclt.exe
1 Datei(en) 71.680 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 71.680 Bytes
0 Verzeichnis(se), 8.676.409.344 Bytes frei

--------------------------------------------------------
und den scan von norton könnt ich noch anbieten

mfg danke schonmal

Anhang: scan2.JPG

15.07.2006, 12:48

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Nightelv

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Cowabanga

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

gleiches mit :

MediaCodec
ecodec
{93ac7c30-3878-4eaa-9420-7977285df5b1}
{74CD40EA-EF77-4BAD-808A-B5982DA73F20}

--------------------------------------------------------------------

die anderen logs werden sich wiederholen, kopiere nur das hier ab:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als
neu .bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Cowabanga" >>files.txt
dir "C:\Programme\Media-Codec" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
notepad files.txt

-----------------------------------------------------------------------

0.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\System32\wcpcc.exe
C:\WINDOWS\System32\rzowa.dll
C:\WINDOWS\System32\winwel32.dll
C:\WINDOWS\System32\ixt0.dll
C:\WINDOWS\System32\pmnqguh.dll
C:\WINDOWS\System32\joowyt.dll
C:\Programme\Media-Codec\iesplugin.dll
C:\Programme\Media-Codec\isaddon.dll
C:\Programme\Media-Codec\uninst.exe
C:\Programme\Media-Codec\ecodec.exe
C:\Programme\Cowabanga\Cowabanga.exe
C:\WINDOWS\system32\components\flx2.dll
C:\Programme\Cowabanga\License.txt

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
3.
poste den report vom avenger, der erscheint

**
4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: (no name) - {DC294C79-A5B4-D36F-CD3A-FDBAA9644CC7} - C:\WINDOWS\System32\rzowa.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\System32\ixt0.dll (file missing)
O2 - BHO: (no name) - {CA522F40-9DDD-E855-F7CB-922C806F5F9D} - C:\WINDOWS\System32\joowyt.dll (file missing)
O2 - BHO: (no name) - {DC294C79-A5B4-D36F-CD3A-FDBAA9644CC7} - C:\WINDOWS\System32\rzowa.dll
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - Winlogon Notify: winwel32 - C:\WINDOWS\SYSTEM32\winwel32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\System32\pmnqguh.dll

5.
loeschen:

C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp
15.07.2006 02:13 <DIR> Reoo

6.
loeschen:
Verzeichnis von c:\Programme\
09.06.2006 16:36 <DIR> Media-Codec
15.06.2006 23:20 <DIR> Cowabanga

C:\WINDOWS\system32\components

7.
Purityscan loeschen (achte auf Datum) , die Fragezeichen sind in Wahrheit "kryptische Zeichen"

Beispiel:..nicht von deinem System, ich poste es, damit du weisst, was los ist:

Verzeichnis von c:\WINDOWS\system32\??pPatch
28.06.2006 17:10 495.616 t?skmgr.exe
1 Datei(en) 495.616 Bytes

C:\Dokumente und Einstellungen\Markus\Anwendungsdaten
25.06.2006 01:18 <DIR> ?ystem

Verzeichnis von C:\Programme
26.06.2006 18:11 <DIR> ?icrosoft

Verzeichnis von C:\Programme
01.07.2006 14:44 <DIR> S?mantec

------------------------------------------------------------------

8.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

----------------------------------------------------------------

Hinweis zu Abel.exe und Cain.exe:

Troj/Cain-20 ist ein herunterladbares Programmpaket, das in erster Linie dazu dient, Kennwörter von anderen Rechnern in einem Netzwerk zu stehlen. Der Server heißt Abel.exe und der Client Cain.exe.

Abel.exe erstellt den Registrierungseintrag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MSABEL32 = MSABEL32.exe
so dass diese Datei immer beim Systemneustart ausgeführt wird.

wahrscheinlich unter :
C:\Cain\Abel.exe

du solltest das desinstallieren/loeschen, wenn du noch weitere Hilfe von mir hier erwartest........................
__________
MfG Sabina

rund um die PC-Sicherheit

15.07.2006, 20:35

Nightelv

Member

Themenstarter

Beiträge: 12

#5 Hi Sabina, natürlich möchte ich weitere Hilfe, CainAbel ist natürlich komplett gelöscht.
Bedanke mich schonmal für deine weitere Hilfe

Registry Search:

- Cowabanga

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.07.2006 20:26:13 for strings:
; 'cowabanga'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Cowabanga]

[HKEY_LOCAL_MACHINE\SOFTWARE\Cowabanga]
@="C:\\Programme\\Cowabanga\\Cowabanga.exe"

; End Of The Log...

- MediaCodec

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.07.2006 20:27:27 for strings:
; 'mediacodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EMediaCodec.Chl]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\EMediaCodec.Chl\CLSID]

; End Of The Log...

- ecodec

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.07.2006 20:29:11 for strings:
; 'ecodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ecodec.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ecodec.exe]
@="C:\\Programme\\Media-Codec\\ecodec.exe"

[HKEY_USERS\S-1-5-21-1417001333-113007714-854245398-1004\Software\Microsoft\MediaPlayer\Preferences]
"UpgradeCodecPrompt"=dword:00000001

; End Of The Log...

- {93ac7c30-3878-4eaa-9420-7977285df5b1}

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.07.2006 20:30:16 for strings:
; '{93ac7c30-3878-4eaa-9420-7977285df5b1}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93ac7c30-3878-4eaa-9420-7977285df5b1}\InProcServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"

; End Of The Log...

- {74CD40EA-EF77-4BAD-808A-B5982DA73F20}

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.07.2006 20:31:09 for strings:
; '{74cd40ea-ef77-4bad-808a-b5982da73f20}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{74CD40EA-EF77-4BAD-808A-B5982DA73F20}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{74CD40EA-EF77-4BAD-808A-B5982DA73F20}\Contains]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{74CD40EA-EF77-4BAD-808A-B5982DA73F20}\Contains\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{74CD40EA-EF77-4BAD-808A-B5982DA73F20}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{74CD40EA-EF77-4BAD-808A-B5982DA73F20}\InstalledVersion]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/YazzleActiveX.ocx]
".Owner"="{74CD40EA-EF77-4BAD-808A-B5982DA73F20}"
"{74CD40EA-EF77-4BAD-808A-B5982DA73F20}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/mfc42.dll]
"{74CD40EA-EF77-4BAD-808A-B5982DA73F20}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/msvcrt.dll]
"{74CD40EA-EF77-4BAD-808A-B5982DA73F20}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/olepro32.dll]
"{74CD40EA-EF77-4BAD-808A-B5982DA73F20}"=""

; End Of The Log...

neu.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
16.03.2004 01:55 503.808 qp2.dll
20.02.2004 12:42 160 qp2.inf
08.12.2003 13:58 3.759 swflash.inf
27.10.2002 20:32 3.036 wmv9dmo.inf
6 Datei(en) 512.622 Bytes
0 Verzeichnis(se), 8.676.429.824 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Temp

15.07.2006 02:13 <DIR> .
15.07.2006 02:13 <DIR> ..
15.07.2006 02:13 <DIR> Reoo
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 8.676.425.728 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\WINDOWS\Temp

15.07.2006 02:13 <DIR> .
15.07.2006 02:13 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.676.425.728 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Temp

24.03.2005 17:24 <DIR> .
24.03.2005 17:24 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 8.676.425.728 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme

15.07.2006 02:11 <DIR> .
15.07.2006 02:11 <DIR> ..
08.03.2006 18:25 <DIR> Adobe
06.11.2003 21:52 <DIR> Ahead
15.03.2005 18:40 <DIR> Alcohol Soft
02.08.2005 16:55 <DIR> AliveMedia
09.06.2006 18:11 <DIR> AntiVir PersonalEdition Classic
10.11.2004 23:26 <DIR> Audio Tagging Tools
18.10.2003 16:50 <DIR> AvRack
13.07.2006 14:03 <DIR> Azureus
11.03.2004 21:06 <DIR> BitTorrent
24.06.2006 16:54 <DIR> blueprint
02.08.2005 03:35 <DIR> BPFTP
07.04.2006 15:16 <DIR> Cain
15.07.2006 02:04 <DIR> CleanUp!
18.10.2003 16:10 <DIR> ComPlus Applications
15.06.2006 23:20 <DIR> Cowabanga
03.07.2004 17:26 <DIR> CyberLink
02.03.2006 18:12 <DIR> Datel
26.12.2003 21:19 <DIR> directx
24.08.2004 01:40 <DIR> DivX
03.07.2004 17:25 <DIR> DVD Genie
17.05.2006 16:53 <DIR> DynDNS Updater
06.06.2006 20:43 <DIR> ElcomSoft
29.03.2006 18:07 <DIR> Ethereal
13.05.2006 13:09 <DIR> FaJo
12.06.2005 00:38 <DIR> FileZilla
12.06.2005 00:59 <DIR> FileZilla Server
15.07.2006 02:11 <DIR> Gemeinsame Dateien
02.11.2004 02:09 <DIR> GetRight
18.10.2003 16:12 <DIR> Internet Explorer
11.04.2006 13:41 <DIR> iPod
11.04.2006 13:43 <DIR> iTunes
18.10.2003 17:20 <DIR> Java
08.01.2005 01:35 <DIR> Java Web Start
09.06.2006 20:08 <DIR> Lavasoft
31.03.2005 16:56 <DIR> Logitech
11.06.2006 23:01 <DIR> Maxis
09.06.2006 16:36 <DIR> Media-Codec
03.07.2004 17:26 <DIR> Medion Home CinemaXL
08.01.2005 01:35 <DIR> Messenger
18.10.2003 16:14 <DIR> microsoft frontpage
20.12.2004 02:44 <DIR> Microsoft Office
08.01.2005 01:35 <DIR> Movie Maker
15.07.2006 02:12 <DIR> Mozilla Firefox
03.07.2006 03:57 <DIR> Mozilla Thunderbird
20.04.2005 17:24 <DIR> mozilla.org
18.10.2003 16:09 <DIR> MSN
18.10.2003 16:09 <DIR> MSN Gaming Zone
13.06.2005 16:35 <DIR> MSN Messenger
18.10.2003 16:11 <DIR> NetMeeting
02.07.2006 22:05 <DIR> Norton AntiVirus
24.05.2005 00:05 <DIR> Oberon Media
18.10.2003 16:09 <DIR> Online Services
18.10.2003 16:12 <DIR> Online-Dienste
18.10.2003 16:11 <DIR> Outlook Express
11.04.2006 13:44 <DIR> QuickTime
18.10.2003 16:50 <DIR> Realtek Sound Manager
08.06.2005 22:39 <DIR> RouterControl
10.04.2005 12:23 <DIR> SiSoftware
09.07.2006 01:04 <DIR> SkinBuilder
24.06.2006 18:35 <DIR> Smart Projects
15.06.2006 17:59 <DIR> Symantec
15.06.2006 17:58 <DIR> SymNetDrv
01.07.2006 14:44 <DIR> S?mantec
19.12.2004 03:45 <DIR> Teamspeak2_RC2
04.07.2006 03:33 <DIR> Ubisoft
25.06.2006 01:30 <DIR> uTorrent
21.07.2005 21:23 <DIR> VideoLAN
13.05.2006 12:18 <DIR> VMware
18.07.2004 12:43 <DIR> WexTech
19.03.2004 17:31 <DIR> WinAce
26.03.2005 16:00 <DIR> Winamp3
28.11.2004 15:58 <DIR> Windows Media Components
03.07.2006 19:05 <DIR> Windows Media Player
18.10.2003 16:09 <DIR> Windows NT
29.03.2006 18:06 <DIR> WinPcap
18.10.2003 16:14 <DIR> xerox
12.08.2005 22:52 <DIR> YVD
26.06.2006 18:11 <DIR> ?icrosoft
0 Datei(en) 0 Bytes
80 Verzeichnis(se), 8.676.421.632 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Dokumente und Einstellungen\Markus\Anwendungsdaten

08.03.2006 18:22 <DIR> Adobe
11.04.2006 13:45 <DIR> Apple Computer
25.06.2006 01:36 <DIR> Azureus
12.01.2005 23:43 <DIR> BPFTP
06.07.2004 16:04 <DIR> CyberLink
10.05.2006 16:26 <DIR> dvdcss
29.03.2006 18:19 <DIR> Ethereal
27.11.2003 17:57 <DIR> Help
03.02.2005 16:29 <DIR> ICQ
03.02.2005 16:29 <DIR> ICQLite
18.10.2003 16:19 <DIR> Identities
26.12.2003 21:25 <DIR> InterTrust
17.05.2006 16:54 <DIR> Kana Solution
09.06.2006 20:09 <DIR> Lavasoft
02.07.2006 21:36 <DIR> Macromedia
20.04.2005 17:30 <DIR> Mozilla
08.06.2005 23:15 <DIR> MSN6
14.06.2005 20:12 <DIR> Opera
21.02.2005 00:37 <DIR> Skype
24.01.2004 15:13 <DIR> Symantec
10.01.2005 17:50 <DIR> Talkback
19.12.2004 03:45 <DIR> teamspeak2
22.01.2006 18:00 <DIR> Thunderbird
15.07.2006 00:41 <DIR> uTorrent
21.07.2005 21:44 <DIR> vlc
15.07.2006 01:49 <DIR> VMware
25.06.2006 01:18 <DIR> ?ystem
0 Datei(en) 0 Bytes
27 Verzeichnis(se), 8.676.421.632 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme\Gemeinsame Dateien

15.07.2006 02:11 <DIR> .
15.07.2006 02:11 <DIR> ..
08.03.2006 18:25 <DIR> Adobe
14.06.2005 20:02 <DIR> Adobe Systems Shared
18.10.2005 23:33 <DIR> Designer
18.10.2003 16:11 <DIR> Dienste
16.11.2004 17:23 <DIR> DirectX
02.03.2006 18:33 <DIR> InstallShield
18.07.2004 12:43 <DIR> LHSPF
31.03.2005 16:40 <DIR> Logitech
18.10.2005 23:34 <DIR> Microsoft Shared
18.10.2003 16:11 <DIR> MSSoap
04.01.2004 03:39 <DIR> NewSettler Software Productions
22.08.2005 23:03 <DIR> NSV
18.10.2003 17:02 <DIR> ODBC
15.03.2005 23:43 <DIR> Real
18.10.2003 17:02 <DIR> SpeechEngines
26.03.2005 03:21 <DIR> Stardock
21.06.2006 14:25 <DIR> Symantec Shared
18.10.2003 16:11 <DIR> System
18.07.2004 12:43 <DIR> WexTech Shared
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 8.676.417.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme\Cowabanga

15.06.2006 23:20 <DIR> .
15.06.2006 23:20 <DIR> ..
02.05.2006 17:56 16.929 License.txt
1 Datei(en) 16.929 Bytes
2 Verzeichnis(se), 8.700.088.320 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\Programme\Media-Codec

09.06.2006 16:36 <DIR> .
09.06.2006 16:36 <DIR> ..
09.06.2006 16:36 26.568 uninst.exe
1 Datei(en) 26.568 Bytes
2 Verzeichnis(se), 8.700.088.320 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC4E-36B9

Verzeichnis von C:\WINDOWS\system32\components

15.07.2006 00:48 <DIR> .
15.07.2006 00:48 <DIR> ..
15.07.2006 00:02 65.179 flx2.dll
1 Datei(en) 65.179 Bytes
2 Verzeichnis(se), 8.700.088.320 Bytes frei

Avenger, das angegebene Skript kann so nicht ausgefürht werden ...
(Error Code 1813)

mfg und danke

15.07.2006, 22:47

Sabina

Ehrenmitglied

Beiträge: 29434

#6 ich habe den Avenger geaendert und auch die spyfalcon.reg

du musst also von beginn an alles noch mal laden und abarbeiten.
wenn der Avenger nicht funktioniert (was ich mir nicht vorstellen kann, dann versuche es mehrmals und wenn dann immer noch nicht, dann loesche manuell oder mit der killbox: http://virus-protect.org/killbox.html

loesche auch :

C:\WINDOWS\system32\components
C:\Programme\Cowabanga
C:\Programme\Media-Codec

C:\Programme\?icrosoft -> Purityscan
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\?ystem -> Purityscan

wenn alles abgearbeitet ist, scanne mit ewido und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

16.07.2006, 01:03

Nightelv

Member

Themenstarter

Beiträge: 12

#7 hi sabina,
das mit avenger ging nicht weil du ein tippfehler hattest, dann ging alles (media - Media). allerdings hab ich das log geschlossen. aber es konnte die cowabanga.exe nicht gelöscht werden. manuell hab ich dann das verzeichnis wie aufgetragen gelöscht.

das unter punkt 7 mit purityscan, das versteh ich nicht ganz.
im explorer werden keine ordner mit ?icrosoft etc. angezeigt ...

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 02:00:02 16.07.2006

+ Scan-Ergebnis:

C:\avenger\backup.zip/avenger/uninst.exe -> Downloader.Zlob.sh : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup-16.07.2006- 0.38.45,53.zip/avenger/isnotify.exe -> Downloader.Zlob.yt : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\pmnqguh.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Ignoriert.
C:\avenger\backup.zip/avenger/flx2.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Ignoriert.
C:\RealVNC\VNC4\winvnc4.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4110 : Ignoriert.
:mozilla.13:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.14:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.16:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.17:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.18:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.19:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
[1476] C:\WINDOWS\system32\winwel32.dll -> Trojan.Agent.vg : Fehler während der Säuberung.

::Berichtende

mfg nightelv

Dieser Beitrag wurde am 16.07.2006 um 02:03 Uhr von Nightelv editiert.

16.07.2006, 13:23

Sabina

Ehrenmitglied

Beiträge: 29434

#8 warum "ignorierst du, was der ewido loeschen will ?
und was den Purityscan betrifft, so habe ich dir ausfuehrlich geschrieben, dass das Fragezeichen nur hier im Browser erscheint, in Wirklichkeit sind es kryptische Zeichen

Zitat

Beispiel:..nicht von deinem System, ich poste es, damit du weisst, was los ist:

C:\Programme\?icrosoft -> Purityscan
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\?ystem -> Purityscan

avenger:

Zitat

Files to delete:
C:\WINDOWS\system32\winwel32.dll
C:\WINDOWS\system32\pmnqguh.dll

gruene Ampel, poste das log vom Avenger, was nach neustart erscheint.
+
dann scanne noch mal mit ewido, aber BITTE alles loeschen lassen !!!!!!!!!!!
+
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

29.07.2006, 01:18

Nightelv

Member

Themenstarter

Beiträge: 12

#9 Hallo, hat etwas gedauert, bis ich wieder an den Pc gekommen bin, hatte anderes zu tun.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jeyubxun

*******************

Script file located at: \??\C:\hdcjoktn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\winwel32.dll not found!
Deletion of file C:\WINDOWS\system32\winwel32.dll failed!

Could not process line:
C:\WINDOWS\system32\winwel32.dll
Status: 0xc0000034

File C:\WINDOWS\system32\pmnqguh.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

anderes folgt

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 02:04:05 29.07.2006

+ Scan-Ergebnis:

HKLM\SOFTWARE\Classes\CLSID\{873eb32d-ae1a-4183-89bd-45a77f761be4} -> Adware.Generic : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\ΑрpPatch\tаskmgr.exe -> Adware.PurityScan : Mit Backup gesäubert (unter Quarantäne gestellt).
[988] C:\WINDOWS\system32\ΑрpPatch\tаskmgr.exe -> Adware.PurityScan : Fehler während der Säuberung.
C:\avenger\backup.zip/avenger/pmnqguh.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Gesäubert.
C:\RealVNC\VNC4\winvnc4.exe -> Not-A-Virus.RemoteAdmin.Win32.WinVNC.4110 : Gesäubert.
:mozilla.8:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Adition : Gesäubert.
:mozilla.9:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Adition : Gesäubert.
:mozilla.10:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert.
:mozilla.11:C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt -> TrackingCookie.Xhit : Gesäubert.

::Berichtende

mfg nightelv

Dieser Beitrag wurde am 29.07.2006 um 02:05 Uhr von Nightelv editiert.

29.07.2006, 01:26

Sabina

Ehrenmitglied

Beiträge: 29434

#10 1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
poste das log von winpfind

http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.07.2006, 02:10

Nightelv

Member

Themenstarter

Beiträge: 12

#11 hi, ewido log ist oben editiert.

Logfile of HijackThis v1.99.1
Scan saved at 02:07:20, on 29.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\PROGRA~1\SMANTE~1\wuaclt.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\ICQLite\ICQLite.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\M?crosoft\n?lookup.exe
C:\Dokumente und Einstellungen\Markus\Desktop\Avenger - SmitFraud\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {EC7CDF58-609A-4B1C-BEB3-35B6A9972F97} - C:\WINDOWS\System32\biboctbt.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {EC7CDF58-609A-4B1C-BEB3-35B6A9972F97} - C:\WINDOWS\System32\biboctbt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [Rlos] "C:\PROGRA~1\SMANTE~1\wuaclt.exe" -vt yax
O4 - HKCU\..\Run: [Bdcz] C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\M?crosoft\n?lookup.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Excel\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://s1.teamlearn.de/qp2.cab
O20 - Winlogon Notify: winwel32 - winwel32.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

------------------------------------------------------

Start Time= 29.07.2006 2:11:18,58
Running from: C:\Programme\Mozilla Firefox

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-07-29 02:05:00 2 ( A.... ) "C:\WINDOWS\system32\wcpcc.exe"
2006-07-29 02:04:58 ( .D... ) "C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\M?crosoft"
2006-07-16 00:54:54 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-07-15 02:04:06 ( .D... ) "C:\Programme\CleanUp!"
2006-07-13 14:40:40 14292 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-07-13 14:40:40 14292 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-07-09 01:04:46 ( .D... ) "C:\Programme\SkinBuilder"
2006-07-04 03:53:44 98304 ( A.... ) "C:\WINDOWS\system32\CmdLineExt.dll"
2006-07-04 03:33:20 ( .D... ) "C:\Programme\Ubisoft"
2006-06-25 01:30:26 ( .D... ) "C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\uTorrent"
2006-06-25 01:30:16 ( .D... ) "C:\Programme\uTorrent"
2006-06-24 18:35:36 ( .D... ) "C:\Programme\Smart Projects"
2006-06-24 16:54:18 ( .D... ) "C:\Programme\blueprint"
2006-06-15 17:58:48 ( .D... ) "C:\Programme\SymNetDrv"
2006-06-15 17:34:08 ( .D... ) "C:\Programme\Norton AntiVirus"
2006-06-11 23:01:48 ( .D... ) "C:\Programme\Maxis"
2006-06-09 20:09:08 ( .D... ) "C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Lavasoft"
2006-06-09 20:08:58 ( .D... ) "C:\Programme\Lavasoft"
2006-06-09 19:34:42 ( .D... ) "C:\Programme\S?mantec"
2006-06-09 18:11:02 ( .D... ) "C:\Programme\AntiVir PersonalEdition Classic"
2006-06-06 20:43:44 ( .D... ) "C:\Programme\ElcomSoft"

(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))

2006-07-04 03:53 98.304 C:\WINDOWS\system32\CmdLineExt.dll
2006-07-04 03:53 62.672 C:\WINDOWS\system32\xinput1_1.dll
2006-07-04 03:53 61.136 C:\WINDOWS\system32\xinput9_1_0.dll
2006-07-04 03:53 230.096 C:\WINDOWS\system32\xactengine2_0.dll
2006-07-04 03:53 229.584 C:\WINDOWS\system32\xactengine2_1.dll
2006-07-04 03:53 2.388.176 C:\WINDOWS\system32\d3dx9_30.dll
2006-07-04 03:53 2.337.488 C:\WINDOWS\system32\d3dx9_25.dll
2006-07-04 03:53 2.332.368 C:\WINDOWS\system32\d3dx9_29.dll
2006-07-04 03:53 2.323.664 C:\WINDOWS\system32\d3dx9_28.dll
2006-07-04 03:53 2.319.568 C:\WINDOWS\system32\d3dx9_27.dll
2006-07-04 03:53 2.297.552 C:\WINDOWS\system32\d3dx9_26.dll
2006-07-04 03:53 2.222.800 C:\WINDOWS\system32\d3dx9_24.dll
2006-07-04 03:53 14.032 C:\WINDOWS\system32\x3daudio1_0.dll
2006-06-15 17:33 91.904 C:\WINDOWS\system32\S32EVNT1.DLL

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SSC_UserPrompt"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Rlos"="\"C:\\PROGRA~1\\SMANTE~1\\wuaclt.exe\" -vt yax"
"Bdcz"="C:\\Dokumente und Einstellungen\\Markus\\Anwendungsdaten\\M?crosoft\\n?lookup.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Excel\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Express Calendar Checker SE.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Express Calendar Checker SE.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ULEADP~1\\CalCheck.exe "
"item"="Photo Express Calendar Checker SE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Markus\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^ICQ Lite.lnk]
"path"="C:\\Dokumente und Einstellungen\\Markus\\Startmenü\\Programme\\Autostart\\ICQ Lite.lnk"
"backup"="C:\\WINDOWS\\pss\\ICQ Lite.lnkStartup"
"location"="Startup"
"command"="C:\\ICQLite\\ICQLite.exe "
"item"="ICQ Lite"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^Komfort-Wecker.lnk]
"path"="C:\\Dokumente und Einstellungen\\Markus\\Startmenü\\Programme\\Autostart\\Komfort-Wecker.lnk"
"backup"="C:\\WINDOWS\\pss\\Komfort-Wecker.lnkStartup"
"location"="Startup"
"command"="C:\\KOMFOR~1\\KOMFOR~1.EXE "
"item"="Komfort-Wecker"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bc730bfe.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bc730bfe"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\bc730bfe.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DynDNS Updater]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DynDNS"
"hkey"="HKCU"
"command"="\"C:\\Programme\\DynDNS Updater\\DynDNS.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileZilla Server Interface]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FileZilla Server Interface"
"hkey"="HKLM"
"command"="\"C:\\Programme\\FileZilla Server\\FileZilla Server Interface.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FinePrint Dispatcher v5]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="fpdisp5a"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe\" /source=HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechGalleryRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\ImageStudio\\ISStart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechImageStudioTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\ImageStudio\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Maulqj]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="s?chost"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\?dobe\\s?chost.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ChkFont"
"hkey"="HKLM"
"command"="C:\\Ulead Photo Express 2 SE\\ChkFont.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebCamRT.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMC_AutoUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"FinePrint Dispatcher v5"=dword:00000003
"FileZilla Server"=dword:00000003
"WinVNC4"=dword:00000003
"VMware NAT Service"=dword:00000002
"VMnetDHCP"=dword:00000002
"VMAuthdService"=dword:00000002
"ImapiService"=dword:00000003
"Adobe LM Service"=dword:00000003
"Abel"=dword:00000002
"iPodService"=dword:00000003
"helpsvc"=dword:00000002
"AntiVirService"=dword:00000002
"AntiVirScheduler"=dword:00000002
"Irmon"=dword:00000002

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Markus.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 29.07.2006 2:11:32,67
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

------------------------------------------------------------------------

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 1 Current Build Number: 2600
Internet Explorer Version: 6.0.2800.1106

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
aspack 05.09.2004 12:51:26 R 118784 C:\WINDOWS\SYSTEM32\d2jsp.dll
aspack 18.03.2005 17:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll
aspack 26.05.2005 15:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll
aspack 22.07.2005 19:59:04 2319568 C:\WINDOWS\SYSTEM32\d3dx9_27.dll
aspack 05.12.2005 18:09:18 2323664 C:\WINDOWS\SYSTEM32\d3dx9_28.dll
aspack 03.02.2006 08:43:16 2332368 C:\WINDOWS\SYSTEM32\d3dx9_29.dll
aspack 31.03.2006 12:40:58 2388176 C:\WINDOWS\SYSTEM32\d3dx9_30.dll
PEC2 29.08.2002 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
aspack 19.03.2002 07:18:54 120832 C:\WINDOWS\SYSTEM32\lame_enc.dll
aspack 03.12.2002 03:02:58 491520 C:\WINDOWS\SYSTEM32\NCTAudioFile.dll
aspack 15.12.2003 12:43:18 657920 C:\WINDOWS\SYSTEM32\NCTAudioFile2.dll
aspack 26.03.2003 06:59:40 573440 C:\WINDOWS\SYSTEM32\NCTAudioInformation2.dll
aspack 03.12.2002 03:11:10 143872 C:\WINDOWS\SYSTEM32\NCTWMAFile.dll
Umonitor 29.08.2002 14:00:00 660480 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 14.01.2006 02:04:58 15884 C:\WINDOWS\SYSTEM32\SSubTmr6.dll
UPX! 14.01.2006 02:04:58 100364 C:\WINDOWS\SYSTEM32\vbaListView6.ocx
winsync 29.08.2002 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
29.07.2006 01:16:04 S 2048 C:\WINDOWS\bootstat.dat
16.07.2006 02:15:20 H 54156 C:\WINDOWS\QTFont.qfn
21.07.2006 13:47:34 HS 10240 C:\WINDOWS\Thumbs.db
13.07.2006 14:40:40 HS 14292 C:\WINDOWS\system32\KGyGaAvL.sys
29.07.2006 01:23:12 H 1024 C:\WINDOWS\system32\config\default.LOG
29.07.2006 01:16:10 H 1024 C:\WINDOWS\system32\config\SAM.LOG
29.07.2006 01:17:08 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
29.07.2006 02:14:14 H 1024 C:\WINDOWS\system32\config\software.LOG
29.07.2006 02:11:56 H 1024 C:\WINDOWS\system32\config\system.LOG
29.07.2006 01:16:08 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 29.08.2002 14:00:00 68096 C:\WINDOWS\SYSTEM32\access.cpl
Realtek Semiconductor Corp. 11.02.2003 08:07:58 1663488 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL
Microsoft Corporation 29.08.2002 14:00:00 583680 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 29.08.2002 14:00:00 132096 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 29.08.2002 14:00:00 152064 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 29.08.2002 14:00:00 293376 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 29.08.2002 14:00:00 125440 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 18.08.2001 05:55:10 48640 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 29.08.2002 14:00:00 66560 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems 30.09.2002 08:56:06 229482 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 29.08.2002 14:00:00 566272 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 29.08.2002 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 29.08.2002 14:00:00 259072 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
NVIDIA Corporation 03.03.2003 03:44:00 139264 C:\WINDOWS\SYSTEM32\nvtuicpl.cpl
Microsoft Corporation 29.08.2002 14:00:00 36864 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 29.08.2002 14:00:00 111616 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 29.08.2002 14:00:00 272896 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 29.08.2002 14:00:00 90112 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 29.08.2002 14:00:00 68096 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 29.08.2002 14:00:00 583680 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 29.08.2002 14:00:00 132096 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 29.08.2002 14:00:00 152064 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 29.08.2002 14:00:00 293376 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 29.08.2002 14:00:00 125440 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 29.08.2002 14:00:00 66560 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 29.08.2002 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 29.08.2002 14:00:00 566272 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 29.08.2002 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 29.08.2002 14:00:00 259072 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 29.08.2002 14:00:00 36864 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 29.08.2002 14:00:00 111616 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 29.08.2002 14:00:00 151552 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 29.08.2002 14:00:00 272896 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 29.08.2002 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 29.08.2002 14:00:00 90112 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
18.10.2003 16:13:58 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
18.10.2003 17:01:44 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
18.10.2003 16:13:58 HS 84 C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
18.10.2003 17:01:44 HS 62 C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton AntiVirus\NavShExt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ZFAdd
{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Programme\WinAce\arcext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Symantec.Norton.Antivirus.IEContextMenu
{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2} = C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ZFAdd
{8FF88D27-7BD0-11D1-BFB7-00AA00262A11} = C:\Programme\WinAce\arcext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}
CNavExtBho Class = C:\Programme\Norton AntiVirus\NavShExt.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EC7CDF58-609A-4B1C-BEB3-35B6A9972F97}
= C:\WINDOWS\System32\biboctbt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{8E718888-423F-11D2-876E-00A0C9082467} = &Radio : C:\WINDOWS\System32\msdxm.ocx
{855F3B16-6D32-4fe6-8A56-BBB695989046} = ICQ Toolbar : C:\ICQToolbar\toolbaru.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Console : C:\WINDOWS\System32\msjava.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
MenuText = :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\MSMSGS.EXE

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
Media Band = %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} = ICQ Toolbar : C:\ICQToolbar\toolbaru.dll
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = Norton AntiVirus : C:\Programme\Norton AntiVirus\NavShExt.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SoundMan SOUNDMAN.EXE
NvCplDaemon RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz nwiz.exe /install
ccApp "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
SSC_UserPrompt C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
Symantec NetDriver Monitor C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
!ewido "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Rlos "C:\PROGRA~1\SMANTE~1\wuaclt.exe" -vt yax
Bdcz C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\M?crosoft\n?lookup.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services
FinePrint Dispatcher v5 3
FileZilla Server 3
WinVNC4 3
VMware NAT Service 2
VMnetDHCP 2
VMAuthdService 2
ImapiService 3
Adobe LM Service 3
Abel 2
iPodService 3
helpsvc 2
AntiVirService 2
AntiVirScheduler 2
Irmon 2

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
item Adobe Gamma Loader
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
item Adobe Gamma Loader

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\Excel\Office10\OSA.EXE -b -l
item Microsoft Office
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup
location Common Startup
command C:\Excel\Office10\OSA.EXE -b -l
item Microsoft Office

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Express Calendar Checker SE.lnk
backup C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup
location Common Startup
command C:\ULEADP~1\CalCheck.exe
item Photo Express Calendar Checker SE
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Photo Express Calendar Checker SE.lnk
backup C:\WINDOWS\pss\Photo Express Calendar Checker SE.lnkCommon Startup
location Common Startup
command C:\ULEADP~1\CalCheck.exe
item Photo Express Calendar Checker SE

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^Adobe Gamma.lnk
path C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup C:\WINDOWS\pss\Adobe Gamma.lnkStartup
location Startup
command C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
item Adobe Gamma
path C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup C:\WINDOWS\pss\Adobe Gamma.lnkStartup
location Startup
command C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE
item Adobe Gamma

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^ICQ Lite.lnk
path C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\ICQ Lite.lnk
backup C:\WINDOWS\pss\ICQ Lite.lnkStartup
location Startup
command C:\ICQLite\ICQLite.exe
item ICQ Lite
path C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\ICQ Lite.lnk
backup C:\WINDOWS\pss\ICQ Lite.lnkStartup
location Startup
command C:\ICQLite\ICQLite.exe
item ICQ Lite

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^Komfort-Wecker.lnk
path C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\Komfort-Wecker.lnk
backup C:\WINDOWS\pss\Komfort-Wecker.lnkStartup
location Startup
command C:\KOMFOR~1\KOMFOR~1.EXE
item Komfort-Wecker
path C:\Dokumente und Einstellungen\Markus\Startmenü\Programme\Autostart\Komfort-Wecker.lnk
backup C:\WINDOWS\pss\Komfort-Wecker.lnkStartup
location Startup
command C:\KOMFOR~1\KOMFOR~1.EXE
item Komfort-Wecker

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item avgnt
hkey HKLM
command "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item avgnt
hkey HKLM
command "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bc730bfe.exe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item bc730bfe
hkey HKLM
command C:\WINDOWS\System32\bc730bfe.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item bc730bfe
hkey HKLM
command C:\WINDOWS\System32\bc730bfe.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DynDNS Updater
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item DynDNS
hkey HKCU
command "C:\Programme\DynDNS Updater\DynDNS.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item DynDNS
hkey HKCU
command "C:\Programme\DynDNS Updater\DynDNS.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FileZilla Server Interface
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item FileZilla Server Interface
hkey HKLM
command "C:\Programme\FileZilla Server\FileZilla Server Interface.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item FileZilla Server Interface
hkey HKLM
command "C:\Programme\FileZilla Server\FileZilla Server Interface.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FinePrint Dispatcher v5
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item fpdisp5a
hkey HKLM
command "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item fpdisp5a
hkey HKLM
command "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ICQ Lite
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ICQLite
hkey HKLM
command "C:\ICQLite\ICQLite.exe" -minimize
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ICQLite
hkey HKLM
command "C:\ICQLite\ICQLite.exe" -minimize
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iTunesHelper
hkey HKLM
command "C:\Programme\iTunes\iTunesHelper.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item iTunesHelper
hkey HKLM
command "C:\Programme\iTunes\iTunesHelper.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechGalleryRepair
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ISStart
hkey HKLM
command C:\Programme\Logitech\ImageStudio\ISStart.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ISStart
hkey HKLM
command C:\Programme\Logitech\ImageStudio\ISStart.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechImageStudioTray
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item LogiTray
hkey HKLM
command C:\Programme\Logitech\ImageStudio\LogiTray.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item LogiTray
hkey HKLM
command C:\Programme\Logitech\ImageStudio\LogiTray.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechVideoRepair
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ISStart
hkey HKLM
command C:\Programme\Logitech\Video\ISStart.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ISStart
hkey HKLM
command C:\Programme\Logitech\Video\ISStart.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogitechVideoTray
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item LogiTray
hkey HKLM
command C:\Programme\Logitech\Video\LogiTray.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item LogiTray
hkey HKLM
command C:\Programme\Logitech\Video\LogiTray.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Maulqj
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item s?chost
hkey HKCU
command C:\WINDOWS\?dobe\s?chost.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item s?chost
hkey HKCU
command C:\WINDOWS\?dobe\s?chost.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSMSGS
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item msmsgs
hkey HKCU
command "C:\Programme\Messenger\msmsgs.exe" /background
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item msmsgs
hkey HKCU
command "C:\Programme\Messenger\msmsgs.exe" /background
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MsnMsgr
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item MsnMsgr
hkey HKCU
command "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item MsnMsgr
hkey HKCU
command "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroCheck
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINDOWS\System32\\NeroCheck.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINDOWS\System32\\NeroCheck.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PE2CKFNT SE
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ChkFont
hkey HKLM
command C:\Ulead Photo Express 2 SE\ChkFont.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ChkFont
hkey HKLM
command C:\Ulead Photo Express 2 SE\ChkFont.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item qttask
hkey HKLM
command "C:\Programme\QuickTime\qttask.exe" -atboottime
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RealTray
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item RealPlay
hkey HKLM
command C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item RealPlay
hkey HKLM
command C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCamRT.exe
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item
hkey HKCU
command
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item
hkey HKCU
command
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinampAgent
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item winampa
hkey HKLM
command C:\Winamp\winampa.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item winampa
hkey HKLM
command C:\Winamp\winampa.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WMC_AutoUpdate
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item
hkey HKLM
command
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item
hkey HKLM
command
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 2
startup 2

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} =
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwel32
= winwel32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs

»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 29.07.2006 02:17:11

mfg, danke schonmal für jede weitere hilfestellung

Dieser Beitrag wurde am 29.07.2006 um 02:20 Uhr von Nightelv editiert.

29.07.2006, 02:49

Sabina

Ehrenmitglied

Beiträge: 29434

#12 Start - Ausfuehren - regedit
bearbeiten - suchen ----->>>

loesche:

Rlos
Bdcz
biboctbt.dll
winwel32
cinnamomum
bc730bfe.exe
Maulqj

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
Rlos
Bdcz

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EC7CDF58-609A-4B1C-BEB3-35B6A9972F97}
= C:\WINDOWS\System32\biboctbt.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winwel32

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bc730bfe.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Maulqj]

PC neustarten

loesche im abgesicherten modus:

C:\WINDOWS\system32\wcpcc.exe
C:\WINDOWS\System32\bc730bfe.exe
C:\WINDOWS\System32\biboctbt.dll
C:\Dokumente und Einstellungen\Markus\Lokale Einstellungen\Anwendungsdaten\bc730bfe.exe

2006-07-29 02:04:58
C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\M?crosoft -> ist wieder der Purityscan

2006-06-09 19:34:42
C:\Programme\S?mantec -> ist wieder der Purityscan

-----------------------------------------------------------------------

Fixe mit dem HijackThis:-> wenn du es schon aus der Registry geloescht hast...duerfte es nicht mehr da sein........

Zitat

R3 - URLSearchHook: (no name) - {EC7CDF58-609A-4B1C-BEB3-35B6A9972F97} - C:\WINDOWS\System32\biboctbt.dll (file missing)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {EC7CDF58-609A-4B1C-BEB3-35B6A9972F97} - C:\WINDOWS\System32\biboctbt.dll (file missing)
O4 - HKCU\..\Run: [Rlos] "C:\PROGRA~1\SMANTE~1\wuaclt.exe" -vt yax
O4 - HKCU\..\Run: [Bdcz] C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\M?crosoft\n?lookup.exe
O20 - Winlogon Notify: winwel32 - winwel32.dll (file missing)

**
scanne mit panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.07.2006, 11:49

Nightelv

Member

Themenstarter

Beiträge: 12

#13 ok hab ich alles gemacht.

hier das panda

Incident Status Location

Adware:adware/ncase Not disinfected Windows Registry
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Mozilla\Firefox\Profiles\vtp4muyx.default\cookies.txt[.as-eu.falkag.net/]
Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Markus\Cookies\markus@atwola[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Markus\Cookies\markus@tradedoubler[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Markus\Desktop\Avenger - SmitFraud\SmitFraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Markus\Eigene Dateien\SmitFraudFix\Process.exe

29.07.2006, 12:19

Sabina

Ehrenmitglied

Beiträge: 29434

#14 noch einmal :

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

29.07.2006, 14:20

Nightelv

Member

Themenstarter

Beiträge: 12

#15 so da

Start Time= 29.07.2006 14:04:04,38
Running from: C:\Dokumente und Einstellungen\Markus\Desktop\Avenger - SmitFraud

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-07-29 12:20:40 ( .D... ) "C:\Programme\linguatec"
2006-07-29 11:54:54 14292 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-07-29 11:54:54 14292 ( A.SH. ) "C:\WINDOWS\system32\KGyGaAvL.sys"
2006-07-16 00:54:54 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-07-15 02:04:06 ( .D... ) "C:\Programme\CleanUp!"
2006-07-09 01:04:46 ( .D... ) "C:\Programme\SkinBuilder"
2006-07-04 03:53:44 98304 ( A.... ) "C:\WINDOWS\system32\CmdLineExt.dll"
2006-07-04 03:33:20 ( .D... ) "C:\Programme\Ubisoft"
2006-06-25 01:30:26 ( .D... ) "C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\uTorrent"
2006-06-25 01:30:16 ( .D... ) "C:\Programme\uTorrent"
2006-06-24 18:35:36 ( .D... ) "C:\Programme\Smart Projects"
2006-06-24 16:54:18 ( .D... ) "C:\Programme\blueprint"
2006-06-15 17:58:48 ( .D... ) "C:\Programme\SymNetDrv"
2006-06-15 17:34:08 ( .D... ) "C:\Programme\Norton AntiVirus"
2006-06-11 23:01:48 ( .D... ) "C:\Programme\Maxis"
2006-06-09 20:09:08 ( .D... ) "C:\Dokumente und Einstellungen\Markus\Anwendungsdaten\Lavasoft"
2006-06-09 20:08:58 ( .D... ) "C:\Programme\Lavasoft"
2006-06-09 18:11:02 ( .D... ) "C:\Programme\AntiVir PersonalEdition Classic"
2006-06-06 20:43:44 ( .D... ) "C:\Programme\ElcomSoft"

(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))

2006-07-29 12:20 765.952 C:\WINDOWS\system32\MSVCP71D.dll
2006-07-29 12:20 544.768 C:\WINDOWS\system32\MSVCR71D.dll
2006-07-29 12:20 348.160 C:\WINDOWS\system32\MSVCR71.dll
2006-07-29 03:41 73.728 C:\WINDOWS\system32\asuninst.exe
2006-07-29 03:41 11.776 C:\WINDOWS\system32\ZPORT4AS.dll
2006-07-04 03:53 98.304 C:\WINDOWS\system32\CmdLineExt.dll
2006-07-04 03:53 62.672 C:\WINDOWS\system32\xinput1_1.dll
2006-07-04 03:53 61.136 C:\WINDOWS\system32\xinput9_1_0.dll
2006-07-04 03:53 230.096 C:\WINDOWS\system32\xactengine2_0.dll
2006-07-04 03:53 229.584 C:\WINDOWS\system32\xactengine2_1.dll
2006-07-04 03:53 2.388.176 C:\WINDOWS\system32\d3dx9_30.dll
2006-07-04 03:53 2.337.488 C:\WINDOWS\system32\d3dx9_25.dll
2006-07-04 03:53 2.332.368 C:\WINDOWS\system32\d3dx9_29.dll
2006-07-04 03:53 2.323.664 C:\WINDOWS\system32\d3dx9_28.dll
2006-07-04 03:53 2.319.568 C:\WINDOWS\system32\d3dx9_27.dll
2006-07-04 03:53 2.297.552 C:\WINDOWS\system32\d3dx9_26.dll
2006-07-04 03:53 2.222.800 C:\WINDOWS\system32\d3dx9_24.dll
2006-07-04 03:53 14.032 C:\WINDOWS\system32\x3daudio1_0.dll
2006-06-15 17:33 91.904 C:\WINDOWS\system32\S32EVNT1.DLL

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SSC_UserPrompt"="C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Excel\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Express Calendar Checker SE.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Express Calendar Checker SE.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Express Calendar Checker SE.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ULEADP~1\\CalCheck.exe "
"item"="Photo Express Calendar Checker SE"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Markus\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^ICQ Lite.lnk]
"path"="C:\\Dokumente und Einstellungen\\Markus\\Startmenü\\Programme\\Autostart\\ICQ Lite.lnk"
"backup"="C:\\WINDOWS\\pss\\ICQ Lite.lnkStartup"
"location"="Startup"
"command"="C:\\ICQLite\\ICQLite.exe "
"item"="ICQ Lite"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Markus^Startmenü^Programme^Autostart^Komfort-Wecker.lnk]
"path"="C:\\Dokumente und Einstellungen\\Markus\\Startmenü\\Programme\\Autostart\\Komfort-Wecker.lnk"
"backup"="C:\\WINDOWS\\pss\\Komfort-Wecker.lnkStartup"
"location"="Startup"
"command"="C:\\KOMFOR~1\\KOMFOR~1.EXE "
"item"="Komfort-Wecker"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DynDNS Updater]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DynDNS"
"hkey"="HKCU"
"command"="\"C:\\Programme\\DynDNS Updater\\DynDNS.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FileZilla Server Interface]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FileZilla Server Interface"
"hkey"="HKLM"
"command"="\"C:\\Programme\\FileZilla Server\\FileZilla Server Interface.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FinePrint Dispatcher v5]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="fpdisp5a"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe\" /source=HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechGalleryRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\ImageStudio\\ISStart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechImageStudioTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\ImageStudio\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PE2CKFNT SE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ChkFont"
"hkey"="HKLM"
"command"="C:\\Ulead Photo Express 2 SE\\ChkFont.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebCamRT.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMC_AutoUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"FinePrint Dispatcher v5"=dword:00000003
"FileZilla Server"=dword:00000003
"WinVNC4"=dword:00000003
"VMware NAT Service"=dword:00000002
"VMnetDHCP"=dword:00000002
"VMAuthdService"=dword:00000002
"ImapiService"=dword:00000003
"Adobe LM Service"=dword:00000003
"Abel"=dword:00000002
"iPodService"=dword:00000003
"helpsvc"=dword:00000002
"AntiVirService"=dword:00000002
"AntiVirScheduler"=dword:00000002
"Irmon"=dword:00000002

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Markus.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 29.07.2006 14:04:13,22
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

ComboFix.2006-07-29.140404.txt

mfg

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2