Habe mir den WURM Alcra.B eingefangen...

#1 also habe hier schon viele Threads über
das Problem mit dem Wurm Alcra.B gesehn.
Aber da die meisten noch vonn 2005 sind
Poste ich es hier mal rein...
Ich kenne mich so gut wie garnicht
mit Würmern ect. aus und hoffe das ihr
mir helfen könnt.
Danke schon mal im Vorraus

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\12018SC Multimedia Mouse Driver\MouseDrv.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\ISW\alice\signup\Tray.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Steam\steam.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Grisoft\AVG Free\avgcc.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Yasin\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll (file missing)
O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\hwachxso.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: winvbie.dll - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll (file missing)
O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll (file missing)
O2 - BHO: IEWebCatcher Class - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programme\DNS\Catcher.dll (file missing)
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\12018SC Multimedia Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [Windows ExpIorer] tdnunebtg.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MsUpdate] C:\Programme\MsUpdate\MsUpdate.exe /auto
O4 - HKLM\..\Run: [ms-update] scvhost.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe"
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Programme\ChrisTV Lite\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\RunServices: [Windows ExpIorer] tdnunebtg.exe
O4 - HKLM\..\RunServices: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [GLSetIT32] C:\windows\system32\wie geil.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138835206546
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DAA3437-B424-4CCF-BED6-43D561151E83}: NameServer = 213.191.92.87 213.191.74.19
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: SpywareCleanerService - Unknown owner - C:\Programme\Spyware Cleaner\SCService.exe (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)

#2 -VIRUSN00b-

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 ehm hoffe mal das ichs richtig gemacht hab :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\WINDOWS\system32

16.07.2006 22:34 13.036 wpa.dbl
16.07.2006 11:58 255.864 FNTCACHE.DAT
12.07.2006 10:15 316.924 perfh007.dat
12.07.2006 10:15 48.354 perfc007.dat
12.07.2006 10:15 311.740 perfh009.dat
12.07.2006 10:15 40.128 perfc009.dat
12.07.2006 10:15 723.744 PerfStringBackup.INI
10.07.2006 03:22 7.006 jupdate-1.5.0_06-b05.log
07.07.2006 03:21 6.757.792 MRT.exe
03.07.2006 14:01 16.832 amcompat.tlb
03.07.2006 14:01 23.392 nscompat.tlb
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 14:34 48.936 sirenacm.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 02:49 269.824 Audiodev.dll
10.05.2006 02:49 7.757.312 wmploc.dll
10.05.2006 02:14 3.749.888 WpdShext.dll
10.05.2006 02:14 97.792 wmpshell.dll
10.05.2006 02:13 262.656 wmerror.dll
10.05.2006 02:12 8.192 asferror.dll
09.05.2006 22:36 6.656 uWDF.exe
09.05.2006 22:36 6.656 WdfMgr.exe
09.05.2006 22:26 1.063.424 WMADMOE.dll
09.05.2006 22:26 221.696 wmasf.dll
09.05.2006 22:26 165.376 MsPMSP.dll
09.05.2006 22:26 31.744 WMDMLOG.dll
09.05.2006 22:26 36.864 WMDMPS.dll
09.05.2006 22:26 4.096 MP43DMOD.dll
09.05.2006 22:26 417.280 wmdrmdev.dll
09.05.2006 22:26 337.408 wmdrmnet.dll
09.05.2006 22:26 4.096 wmsdmoe2.dll
09.05.2006 22:26 219.648 CEWMDM.dll
09.05.2006 22:26 155.136 wmidx.dll
09.05.2006 22:26 992.256 WMNetMgr.dll
09.05.2006 22:26 10.394.624 wmp.dll
09.05.2006 22:26 4.096 MPG4DMOD.dll
09.05.2006 22:26 237.056 wmpasf.dll
09.05.2006 22:26 26.112 MsPMSNSv.dll
09.05.2006 22:26 301.056 wmpdxm.dll
09.05.2006 22:26 433.152 wmpeffects.dll
09.05.2006 22:26 1.641.472 wmpencen.dll
09.05.2006 22:26 705.024 WMADMOD.dll
09.05.2006 22:26 135.680 wmpps.dll
09.05.2006 22:26 4.096 wdfApi.dll
09.05.2006 22:26 4.096 wmvdmoe2.dll
09.05.2006 22:26 4.096 wmvdmod.dll
09.05.2006 22:26 203.776 wmpsrcwp.dll
09.05.2006 22:26 4.096 MP4SDMOD.dll
09.05.2006 22:26 4.096 wmsdmod.dll
09.05.2006 22:26 201.728 qasf.dll
09.05.2006 22:26 4.096 WMVADVE.DLL
09.05.2006 22:26 4.096 WMVADVD.dll
09.05.2006 22:26 212.480 msnetobj.dll
09.05.2006 22:26 1.280.000 WMSPDMOE.dll
09.05.2006 22:26 564.736 WMSPDMOD.dll
09.05.2006 22:26 306.688 MSWMDM.dll
09.05.2006 22:26 221.696 SET68.tmp
09.05.2006 22:26 9.728 LAPRXY.dll
09.05.2006 22:22 2.463.744 SET76.tmp
09.05.2006 22:22 2.463.744 wmvcore.dll
09.05.2006 21:02 230.400 l3codecp.acm
09.05.2006 21:02 84.480 logagent.exe
09.05.2006 21:01 1.359.360 WMVSDECD.dll
09.05.2006 21:01 1.463.808 WMVDECOD.dll
09.05.2006 21:00 299.520 MP4SDECD.dll
09.05.2006 21:00 770.560 WMVSENCD.dll
09.05.2006 21:00 1.455.616 WMVENCOD.dll
09.05.2006 21:00 241.152 MPG4DECD.dll
09.05.2006 21:00 241.152 MP43DECD.dll
09.05.2006 21:00 636.928 WMVXENCD.dll
09.05.2006 21:00 546.816 wmpmde.dll
09.05.2006 21:00 382.976 MFPLAT.dll
09.05.2006 21:00 1.350.656 drmv2clt.dll
09.05.2006 20:59 513.536 wmdrmsdk.dll
09.05.2006 20:59 417.280 MSSCP.dll
09.05.2006 20:59 229.376 drmupgds.exe
09.05.2006 20:59 585.216 blackbox.dll
09.05.2006 20:58 52.224 WPDShServiceObj.dll
09.05.2006 20:58 13.824 wpdshextautoplay.exe
09.05.2006 20:58 103.424 PortableDeviceWiaCompat.dll
09.05.2006 20:58 670.208 wpd_ci.dll
09.05.2006 20:58 345.600 PortableDeviceApi.dll
09.05.2006 20:58 188.928 PortableDeviceWMDRM.dll
09.05.2006 20:58 101.376 PortableDeviceClassExtension.dll
09.05.2006 20:58 343.552 WPDSp.dll
09.05.2006 20:58 35.840 wpdconns.dll
09.05.2006 20:58 55.808 wpdmtpus.dll
09.05.2006 20:58 144.896 wpdmtp.dll
09.05.2006 20:58 13.312 wpdtrace.dll
09.05.2006 20:58 168.960 PortableDeviceTypes.dll
09.05.2006 20:57 11.264 ehETW.dll
09.05.2006 20:45 304.640 MSDelta.dll
09.05.2006 20:00 22.752 spupdsvc.exe
11.04.2006 14:30 93.752 WUDFCoinstaller.dll
11.04.2006 14:27 304.640 WUDFx.dll
11.04.2006 14:27 130.048 WudfHost.exe
11.04.2006 14:26 54.272 WudfSvc.dll
11.04.2006 14:26 158.208 WudfPlatform.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 15:44 180.224 xvidvfw.dll
01.03.2006 15:44 77.824 xvid.ax
01.03.2006 15:44 761.856 xvidcore.dll
01.03.2006 15:44 167.936 CoreAAC.ax


ehm ya da kammen noch :
systemtemp - Editor
system - Editor
sys - Editor

soll ich dir die auch noch rein Kopiern ?

#4 1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

Von den 4 Logs braucht sie die letzten 3 monate. Diese entsprechend kopieren und hier einfügen.

#5 ups sry :

1.Log Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\WINDOWS\system32

16.07.2006 22:34 13.036 wpa.dbl
16.07.2006 11:58 255.864 FNTCACHE.DAT
12.07.2006 10:15 316.924 perfh007.dat
12.07.2006 10:15 48.354 perfc007.dat
12.07.2006 10:15 311.740 perfh009.dat
12.07.2006 10:15 40.128 perfc009.dat
12.07.2006 10:15 723.744 PerfStringBackup.INI
10.07.2006 03:22 7.006 jupdate-1.5.0_06-b05.log
07.07.2006 03:21 6.757.792 MRT.exe
03.07.2006 14:01 16.832 amcompat.tlb
03.07.2006 14:01 23.392 nscompat.tlb
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 14:34 48.936 sirenacm.dll
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 02:49 269.824 Audiodev.dll
10.05.2006 02:49 7.757.312 wmploc.dll
10.05.2006 02:14 3.749.888 WpdShext.dll
10.05.2006 02:14 97.792 wmpshell.dll
10.05.2006 02:13 262.656 wmerror.dll
10.05.2006 02:12 8.192 asferror.dll
09.05.2006 22:36 6.656 uWDF.exe
09.05.2006 22:36 6.656 WdfMgr.exe
09.05.2006 22:26 1.063.424 WMADMOE.dll
09.05.2006 22:26 221.696 wmasf.dll
09.05.2006 22:26 165.376 MsPMSP.dll
09.05.2006 22:26 31.744 WMDMLOG.dll
09.05.2006 22:26 36.864 WMDMPS.dll
09.05.2006 22:26 4.096 MP43DMOD.dll
09.05.2006 22:26 417.280 wmdrmdev.dll
09.05.2006 22:26 337.408 wmdrmnet.dll
09.05.2006 22:26 4.096 wmsdmoe2.dll
09.05.2006 22:26 219.648 CEWMDM.dll
09.05.2006 22:26 155.136 wmidx.dll
09.05.2006 22:26 992.256 WMNetMgr.dll
09.05.2006 22:26 10.394.624 wmp.dll
09.05.2006 22:26 4.096 MPG4DMOD.dll
09.05.2006 22:26 237.056 wmpasf.dll
09.05.2006 22:26 26.112 MsPMSNSv.dll
09.05.2006 22:26 301.056 wmpdxm.dll
09.05.2006 22:26 433.152 wmpeffects.dll
09.05.2006 22:26 1.641.472 wmpencen.dll
09.05.2006 22:26 705.024 WMADMOD.dll
09.05.2006 22:26 135.680 wmpps.dll
09.05.2006 22:26 4.096 wdfApi.dll
09.05.2006 22:26 4.096 wmvdmoe2.dll
09.05.2006 22:26 4.096 wmvdmod.dll
09.05.2006 22:26 203.776 wmpsrcwp.dll
09.05.2006 22:26 4.096 MP4SDMOD.dll
09.05.2006 22:26 4.096 wmsdmod.dll
09.05.2006 22:26 201.728 qasf.dll
09.05.2006 22:26 4.096 WMVADVE.DLL
09.05.2006 22:26 4.096 WMVADVD.dll
09.05.2006 22:26 212.480 msnetobj.dll
09.05.2006 22:26 1.280.000 WMSPDMOE.dll
09.05.2006 22:26 564.736 WMSPDMOD.dll
09.05.2006 22:26 306.688 MSWMDM.dll
09.05.2006 22:26 221.696 SET68.tmp
09.05.2006 22:26 9.728 LAPRXY.dll
09.05.2006 22:22 2.463.744 SET76.tmp
09.05.2006 22:22 2.463.744 wmvcore.dll
09.05.2006 21:02 230.400 l3codecp.acm
09.05.2006 21:02 84.480 logagent.exe
09.05.2006 21:01 1.359.360 WMVSDECD.dll
09.05.2006 21:01 1.463.808 WMVDECOD.dll
09.05.2006 21:00 299.520 MP4SDECD.dll
09.05.2006 21:00 770.560 WMVSENCD.dll
09.05.2006 21:00 1.455.616 WMVENCOD.dll
09.05.2006 21:00 241.152 MPG4DECD.dll
09.05.2006 21:00 241.152 MP43DECD.dll
09.05.2006 21:00 636.928 WMVXENCD.dll
09.05.2006 21:00 546.816 wmpmde.dll
09.05.2006 21:00 382.976 MFPLAT.dll
09.05.2006 21:00 1.350.656 drmv2clt.dll
09.05.2006 20:59 513.536 wmdrmsdk.dll
09.05.2006 20:59 417.280 MSSCP.dll
09.05.2006 20:59 229.376 drmupgds.exe
09.05.2006 20:59 585.216 blackbox.dll
09.05.2006 20:58 52.224 WPDShServiceObj.dll
09.05.2006 20:58 13.824 wpdshextautoplay.exe
09.05.2006 20:58 103.424 PortableDeviceWiaCompat.dll
09.05.2006 20:58 670.208 wpd_ci.dll
09.05.2006 20:58 345.600 PortableDeviceApi.dll
09.05.2006 20:58 188.928 PortableDeviceWMDRM.dll
09.05.2006 20:58 101.376 PortableDeviceClassExtension.dll
09.05.2006 20:58 343.552 WPDSp.dll
09.05.2006 20:58 35.840 wpdconns.dll
09.05.2006 20:58 55.808 wpdmtpus.dll
09.05.2006 20:58 144.896 wpdmtp.dll
09.05.2006 20:58 13.312 wpdtrace.dll
09.05.2006 20:58 168.960 PortableDeviceTypes.dll
09.05.2006 20:57 11.264 ehETW.dll
09.05.2006 20:45 304.640 MSDelta.dll
09.05.2006 20:00 22.752 spupdsvc.exe
11.04.2006 14:30 93.752 WUDFCoinstaller.dll
11.04.2006 14:27 304.640 WUDFx.dll
11.04.2006 14:27 130.048 WudfHost.exe
11.04.2006 14:26 54.272 WudfSvc.dll
11.04.2006 14:26 158.208 WudfPlatform.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 426.496 msdtcprx.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 15:44 180.224 xvidvfw.dll
01.03.2006 15:44 77.824 xvid.ax
01.03.2006 15:44 761.856 xvidcore.dll
01.03.2006 15:44 167.936 CoreAAC.ax

--------------------------------------------------------------------------------------------------------------------

2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\DOKUME~1\Yasin\LOKALE~1\Temp

16.07.2006 22:36 512 ~DF74E8.tmp
16.07.2006 22:36 1.130.496 ~DF7362.tmp
16.07.2006 22:35 512 ~DF3D3E.tmp
16.07.2006 22:35 1.130.496 ~DF3979.tmp
16.07.2006 11:49 372 jusched.log
16.07.2006 11:39 1.208 java_install_reg.log
16.07.2006 11:21 542 MSI315c.LOG
07.12.2005 15:38 67.704 uni9.tmp
8 Datei(en) 2.331.842 Bytes
0 Verzeichnis(se), 18.395.090.944 Bytes frei

---------------------------------------------------------------------------------------------------------------------

3.Log Verzeichnis von C:\WINDOWS

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\WINDOWS

16.07.2006 22:35 1.218.102 WindowsUpdate.log
16.07.2006 22:33 0 0.log
16.07.2006 22:33 50 wiaservc.log
16.07.2006 22:33 159 wiadebug.log
16.07.2006 22:31 2.048 bootstat.dat
16.07.2006 22:22 32.540 SchedLgU.Txt
16.07.2006 20:03 116 NeroDigital.ini
16.07.2006 11:12 60 setupact.log
16.07.2006 11:12 0 setuperr.log
16.07.2006 07:53 574 win.ini
16.07.2006 07:53 292 system.ini
15.07.2006 21:35 265 hiphopmaker.INI
15.07.2006 20:26 345 BeatBox.INI
15.07.2006 18:24 54.156 QTFont.qfn
15.07.2006 00:23 193.321 haxXxoredpasses.txt
12.07.2006 01:10 1.409 QTFont.for
03.07.2006 13:45 316.640 WMSysPr9.prx
02.07.2006 23:45 24 MSPL1200
21.06.2006 15:22 3.627 mozver.dat
07.06.2006 14:43 400 ODBC.INI
19.03.2006 21:42 130 SBWIN.INI

----------------------------------------------------------------------------------------------------------------------

4.Log Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\

16.07.2006 22:57 0 sys.txt
16.07.2006 22:56 6.054 system.txt
16.07.2006 22:55 641 systemtemp.txt
16.07.2006 22:51 108.237 system32.txt
16.07.2006 22:31 402.653.184 pagefile.sys
16.07.2006 07:53 216 boot.ini
05.07.2006 05:31 8.726 MessengerDiscoveryDebug.log
10.12.2005 21:21 5.900 CtDrvStp.log
10.12.2005 21:21 97 CtDrvIns.log




so das müsste alles sein..

#6 -VIRUSN00b-

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

SpywareCleanerService

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

System Startup Service

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

---------------------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll (file missing)
O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\hwachxso.dll (file missing)
O2 - BHO: winvbie.dll - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll (file missing)
O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll (file missing)
O2 - BHO: IEWebCatcher Class - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programme\DNS\Catcher.dll (file missing)
O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [Windows ExpIorer] tdnunebtg.exe
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\Run: [MsUpdate] C:\Programme\MsUpdate\MsUpdate.exe /auto
O4 - HKLM\..\Run: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\RunServices: [Windows ExpIorer] tdnunebtg.exe
O4 - HKLM\..\RunServices: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [GLSetIT32] C:\windows\system32\wie geil.exe

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

3..
bfu und sophos anwenden
http://virus-protect.org/artikel/bfu/p2pbfuhtml.html

4.
scanne mit ewido und poste den report
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 17.07.2006 00:59:06 for strings:
; 'spywarecleanerservice'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYWARECLEANERSERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\SpywareCleanerService]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SpywareCleanerService]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYWARECLEANERSERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\SpywareCleanerService]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SpywareCleanerService]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYWARECLEANERSERVICE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SpywareCleanerService]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SpywareCleanerService]


; End Of The Log...
-----------------------------------------------------------------------------------------------------------------------
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 17.07.2006 00:45:18 for strings:
; 'system startup service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000]
"DeviceDesc"="System Startup Service "

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]
"DisplayName"="System Startup Service "

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000]
"DeviceDesc"="System Startup Service "

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc]
"DisplayName"="System Startup Service "

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000]
"DeviceDesc"="System Startup Service "

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
"DisplayName"="System Startup Service "

; End Of The Log...
-----------------------------------------------------------------------------------------------------------------------
BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 01:06:03, on 17.07.2006

Failed: RegDelValue HKCU\System\CurrentControlSet\Control\Lsa|p2pnetwork (key not found)
Failed: RegDelValue HKCU\System\CurrentControlSet\Control\Lsa|outlook (key not found)
Option pause between commands: 300 ms
Failed: FolderDelete C:\Programme\MsConfigs (folder not found)
Failed: FolderDelete C:\Programme\winupdates (folder not found)
Failed: FolderDelete C:\Programme\winupdate (folder not found)
Failed: FolderDelete C:\Programme\winsupdater (folder not found)
Failed: FolderDelete C:\Programme\MsUpdate (folder not found)
Failed: FolderDelete C:\Programme\MsMovies (folder not found)
Failed: FolderDelete C:\Programme\outlook (folder not found)
Script completed.
--------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------
+ Erstellt um: 02:05:10 17.07.2006

+ Scan-Ergebnis:
+ Erstellt um: 02:05:10 17.07.2006
+ Scan-Ergebnis:

HKLM\SYSTEM\CurrentControlSet\Services\SvcProc -> Adware.BetterInternet : Keine Aktion durchgeführt.
HKLM\SYSTEM\CurrentControlSet\Services\SvcProc\Enum -> Adware.BetterInternet : Keine Aktion durchgeführt.
HKLM\SYSTEM\CurrentControlSet\Services\SvcProc\Security -> Adware.BetterInternet : Keine Aktion durchgeführt.
HKU\S-1-5-21-839522115-1275210071-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4AA870AC-8427-42A4-B92E-ECD956197489} -> Adware.BetterInternet : Keine Aktion durchgeführt.
C:\Programme\Gemeinsame Dateien\Windows\services32.exe -> Adware.Maxifiles : Keine Aktion durchgeführt.
C:\Programme\Gemeinsame Dateien\system32.dll/Catcher.dll -> Adware.Maxifiles : Keine Aktion durchgeführt.
C:\Programme\Gemeinsame Dateien\system32.dll/cwebpage.dll -> Adware.Maxifiles : Keine Aktion durchgeführt.
HKU\S-1-5-21-839522115-1275210071-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{197B8CA4-E215-46DD-8F33-E0544A80E5C4} -> Adware.SafeSurfing : Keine Aktion durchgeführt.
HKU\S-1-5-21-839522115-1275210071-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{71D1708F-973D-4600-AF01-AD86688403AE} -> Adware.SafeSurfing : Keine Aktion durchgeführt.
HKU\S-1-5-21-839522115-1275210071-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FFF4E223-7019-4CE7-BE03-D7D3C8CCE884} -> Adware.Shorty : Keine Aktion durchgeführt.
HKU\S-1-5-21-839522115-1275210071-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C4F147D7-BF25-488E-A12B-EFD43E7029BF} -> Adware.VisuaExplorer : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Yasin\Desktop\Desktop\Neu WinRAR ZIP-Archiv.zip/ddamontools[1].exe.exe -> Backdoor.Ciadoor.13 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Yasin\Desktop\IceCold ReLoaded.exe -> Not-A-Virus.HackTool.Win32.Homac : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Yasin\Cookies\yasin@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Yasin\Cookies\yasin@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.19:C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Mozilla\Firefox\Profiles\5b0ybbx9.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.20:C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Mozilla\Firefox\Profiles\5b0ybbx9.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.21:C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Mozilla\Firefox\Profiles\5b0ybbx9.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.22:C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Mozilla\Firefox\Profiles\5b0ybbx9.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.23:C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\Mozilla\Firefox\Profiles\5b0ybbx

#8 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\Yasin" >>files.txt
dir "C:\Programme\DNS" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\InetGet" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\InetGet2" >>files.txt
dir "C:\Programme\Spyware Cleaner" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\system32.dll" >>files.txt
dir "C:\Dokumente und Einstellungen\Yasin\Eigene Dateien" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Windows" >>files.txt
dir "C:\Dokumente und Einstellungen\Yasin\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

2.
Ewido -> Keine Aktion durchgeführt. ??????????? - warum loeschst du nicht ???? ->noch mal scannen und alles loeschen lassen !!!!!!!!!!

3.
arbeite diese bfu ab:
http://virus-protect.org/artikel/bfu/zango_bfu.html

4.
avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYWARECLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\SpywareCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SpywareCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYWARECLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\SpywareCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SpywareCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYWARECLEANERSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SpywareCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SpywareCleanerService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc

Files to delete:

C:\WINDOWS\system32\tdnunebtg.exe
C:\WINDOWS\system32\p2pnetworking.exe
C:\WINDOWS\system32\scvhost.exe
C:\Programme\DNSaffid.dat
C:\Programme\DNScwebpage.dll
C:\Programme\DNSx.bmp
C:\Programme\DNSgui.exe
C:\Programme\DNScatcher.dll
C:\Programme\DNSuid.dat
C:\Programme\DNSurls.dat
C:\Programme\Gemeinsame Dateien\services.exe
C:\Programme\Gemeinsame Dateien\system32.dll
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
C:\Programme\Gemeinsame Dateien\Windows\ack.html
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe
C:\Programme\Gemeinsame Dateien\Windows\request.html
C:\Dokumente und Einstellungen\Yasin\Desktop\IceCold ReLoaded.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Dokumente und Einstellungen\Yasin

17.07.2006 06:20 <DIR> .
17.07.2006 06:20 <DIR> ..
23.02.2006 15:29 91.335 banner2.jpg
15.07.2006 20:23 <DIR> Contacts
17.07.2006 20:42 <DIR> Desktop
17.07.2006 02:33 <DIR> Eigene Dateien
12.11.2005 01:36 <DIR> Favoriten
20.10.2005 01:47 <DIR> Shared
03.10.2005 01:47 <DIR> Startmen�
07.06.2006 01:17 <DIR> WINDOWS
1 Datei(en) 91.335 Bytes
9 Verzeichnis(se), 19.039.510.528 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.12.2005 13:46 1.271 erma.inf
25.08.2003 19:12 1.096 iuctl.inf
03.06.2005 04:49 752 jinstall-1_5_0_04.inf
11.08.2005 00:54 1.426 m67m.inf
31.05.2002 09:19 117.328 PURde-de.dll
15.10.2004 08:53 110.592 PURde-xx.dll
19.06.2002 14:11 117.088 PURen-us.dll
02.12.2005 12:55 5.101 swflash.inf
06.04.2006 12:48 3.748.256 WebCleaner.dll
06.04.2006 15:44 318 WebCleaner.inf
10 Datei(en) 4.103.228 Bytes
0 Verzeichnis(se), 19.039.506.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme\Gemeinsame Dateien

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Dokumente und Einstellungen\Yasin\Eigene Dateien

17.07.2006 02:33 <DIR> .
17.07.2006 02:33 <DIR> ..
14.07.2006 17:16 4.657.600 01-kool_savas_und_Ercandize-wie_solls_mit_euch_euch_weitergehen_de-2006.mp3
13.07.2006 20:00 22.016 11[1]._September.doc
07.07.2006 23:03 696.528 12802-7.mp3
02.07.2006 12:03 643.238 27984-8.mp3
13.07.2006 14:22 3.260.544 ARABIC- LIBANON- Lebanese Rap.mp3
14.07.2006 17:16 5.621.760 bass_sultan_hengzt-ich_liebe_dich_(feat[1]._she-raw).mp3
09.06.2006 21:45 <DIR> Eigene Bilder
17.07.2006 03:11 <DIR> Eigene Musik
16.07.2006 11:25 <DIR> Eigene Videos
01.02.2006 06:30 <DIR> Emus
13.07.2006 15:23 4.562.944 FA!K- Sch”neberg SonG06 (Fullversion).mp3
12.07.2006 23:06 3.752.256 Furat & Eren_zu sp„t.mp3
01.07.2006 22:55 1.279.653 He's going.3gp
09.07.2006 13:35 5.206 HINDIIIIIII.txt
09.07.2006 14:39 <DIR> Indisch
17.07.2006 02:24 <DIR> LACH'N
17.07.2006 02:20 <DIR> Medien
16.07.2006 22:36 <DIR> Meine Aufzeichnungen
17.07.2006 20:38 582 Meine freigegebenen Ordner.lnk
16.07.2006 11:27 <DIR> My Recordings
17.07.2006 00:28 1.031.105 peinlich xD.mp3
12 Datei(en) 25.533.432 Bytes
11 Verzeichnis(se), 19.039.506.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme\Gemeinsame Dateien\Windows

17.07.2006 02:07 <DIR> .
17.07.2006 02:07 <DIR> ..
09.10.2005 04:00 1.066 autoitscript.au3
04.02.2004 14:06 45.136 psapi.dll
2 Datei(en) 46.202 Bytes
2 Verzeichnis(se), 19.039.506.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Dokumente und Einstellungen\Yasin\Lokale Einstellungen\Temp

17.07.2006 20:39 <DIR> .
17.07.2006 20:39 <DIR> ..
17.07.2006 20:37 <DIR> MessengerCache
17.07.2006 17:17 <DIR> WER75bd.dir00
17.07.2006 17:17 <DIR> WER9d53.dir00
17.07.2006 17:18 <DIR> WERa70c.dir00
17.07.2006 06:38 1.344 wmplog00.sqm
17.07.2006 06:38 1.264 wmplog01.sqm
17.07.2006 14:39 1.304 wmplog02.sqm
17.07.2006 20:37 1.130.496 ~DF5F53.tmp
17.07.2006 20:37 512 ~DF649F.tmp
17.07.2006 20:37 1.130.496 ~DF65E.tmp
17.07.2006 20:37 512 ~DFA04.tmp
7 Datei(en) 2.265.928 Bytes
6 Verzeichnis(se), 19.039.502.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\WINDOWS\Temp

17.07.2006 06:20 <DIR> .
17.07.2006 06:20 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 19.039.502.336 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme

17.07.2006 03:17 <DIR> .
17.07.2006 03:17 <DIR> ..
06.06.2006 20:25 <DIR> 12018SC Multimedia Mouse Driver
16.07.2006 11:28 <DIR> Acoustica Mixcraft
25.06.2006 16:36 <DIR> Acoustica Shared Effects
09.06.2006 17:13 <DIR> Adobe
07.06.2006 15:40 <DIR> AntiVir PersonalEdition Classic
15.04.2005 18:57 <DIR> ATI Multimedia
14.04.2005 14:17 <DIR> ATI Technologies
08.10.2005 18:03 <DIR> AVIcodec
28.02.2006 20:02 <DIR> CCleaner
28.02.2006 00:52 <DIR> CDRWIN 6
16.07.2006 22:43 <DIR> CleanUp!
10.12.2005 21:27 <DIR> Creative
15.04.2005 18:57 <DIR> CyberLink
14.04.2005 16:00 <DIR> CyberLink DVD Solution
07.06.2006 17:31 <DIR> DIFX
17.07.2006 04:07 <DIR> ewido anti-spyware 4.0
17.07.2006 02:07 <DIR> Gemeinsame Dateien
16.07.2006 06:35 <DIR> Grisoft
06.06.2006 20:42 <DIR> ICQLite
23.03.2006 12:23 <DIR> Image-Line
22.10.2005 04:54 <DIR> ImTOO
15.06.2006 12:22 <DIR> Internet Explorer
21.03.2006 23:25 <DIR> IrfanView
26.02.2006 07:28 <DIR> Jasc Software Inc
04.10.2005 17:09 <DIR> Lavasoft
11.07.2006 18:48 <DIR> Messenger Plus! Live
14.04.2005 14:06 <DIR> microsoft frontpage
01.10.2005 13:32 <DIR> Microsoft Office
01.10.2005 13:32 <DIR> Microsoft Works
14.04.2005 15:24 <DIR> Microsoft Works Suite 2003
15.04.2005 10:58 <DIR> Movie Maker
19.10.2005 16:06 <DIR> Mozilla Firefox
14.04.2005 14:02 <DIR> MSN
14.04.2005 14:02 <DIR> MSN Gaming Zone
11.07.2006 18:48 <DIR> MSN Messenger
14.04.2005 16:31 <DIR> MSXML 4.0
15.04.2005 10:56 <DIR> NetMeeting
08.10.2005 18:02 <DIR> NimoCodec Pack
14.04.2005 14:02 <DIR> Online Services
14.04.2005 14:04 <DIR> Online-Dienste
16.04.2006 03:01 <DIR> Outlook Express
02.07.2006 20:00 <DIR> PhotoLine
24.06.2006 01:59 <DIR> PodSpider
14.08.2005 13:51 <DIR> QuickTime
01.03.2006 23:36 <DIR> RegCleaner
05.03.2006 00:35 <DIR> Skype
26.01.2006 16:34 <DIR> Sonic Foundry ACID 2.0
25.03.2006 14:36 <DIR> Sony Ericsson
16.07.2006 07:52 <DIR> Spybot - Search & Destroy
17.07.2006 04:15 <DIR> Steam
19.12.2005 00:02 <DIR> Teamspeak2_RC2
23.03.2006 12:25 <DIR> VstPlugins
02.02.2006 00:54 <DIR> Windows Journal Viewer
03.07.2006 13:59 <DIR> Windows Media Player
15.04.2005 10:56 <DIR> Windows NT
06.02.2006 21:09 <DIR> WinRAR
02.10.2005 12:54 <DIR> Xenorate
14.04.2005 14:06 <DIR> xerox
08.10.2005 03:49 <DIR> XviD
04.07.2006 11:46 <DIR> Zone Labs
0 Datei(en) 0 Bytes
62 Verzeichnis(se), 19.039.498.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten

25.03.2006 16:25 <DIR> Adobe
12.05.2005 16:42 <DIR> ATI MMC
03.10.2005 16:30 <DIR> AVG7
10.12.2005 21:25 <DIR> Creative
20.04.2005 17:38 <DIR> Cyberlink
14.04.2005 14:29 <DIR> Help
26.12.2005 03:47 <DIR> ICQLite
14.04.2005 14:13 <DIR> Identities
04.10.2005 17:10 <DIR> Lavasoft
25.03.2006 16:19 <DIR> Leadertech
17.03.2006 22:42 <DIR> Macromedia
01.11.2005 19:53 <DIR> MAGIX
21.10.2005 00:11 <DIR> Media Player Classic
04.10.2005 15:51 <DIR> Mozilla
01.10.2005 20:29 <DIR> MSN6
09.07.2006 16:34 <DIR> PhotoLine
17.12.2005 09:14 <DIR> Real
17.07.2006 00:22 <DIR> Skype
12.06.2005 00:24 <DIR> Sun
09.07.2006 02:19 <DIR> teamspeak2
14.04.2005 15:10 0 wklnhst.dat
11.06.2005 12:11 <DIR> X10 Commander
1 Datei(en) 0 Bytes
21 Verzeichnis(se), 19.039.498.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0873-587D

Verzeichnis von C:\Programme\Gemeinsame Dateien

17.07.2006 02:07 <DIR> .
17.07.2006 02:07 <DIR> ..
25.03.2006 16:25 <DIR> Adobe
20.10.2005 22:22 <DIR> Ahead
14.04.2005 14:03 <DIR> Dienste
10.12.2005 21:23 <DIR> InstallShield
01.11.2005 19:32 <DIR> MAGIX Shared
11.07.2006 18:46 <DIR> Microsoft Shared
14.04.2005 14:03 <DIR> MSSoap
14.04.2005 14:54 <DIR> ODBC
17.12.2005 09:15 <DIR> Real
14.04.2005 14:54 <DIR> SpeechEngines
16.04.2006 03:14 <DIR> System
17.07.2006 02:07 <DIR> Windows
10.01.2006 18:44 <DIR> WinSoftware
0 Datei(en) 0 Bytes
15 Verzeichnis(se), 19.039.498.240 Bytes frei

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:24:41 17.07.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Yasin\Cookies\yasin@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert.
C:\Dokumente und Einstellungen\Yasin\Cookies\yasin@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Yasin\Cookies\yasin@weborama[2].txt -> TrackingCookie.Weborama : Gesäubert.


::Berichtende


-----------------------------------------------------------------------------------------------------------------------

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\emidpkkl

*******************

Script file located at: \??\C:\Program Files\lutufqln.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SPYWARECLEANERSERVICE deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\SpywareCleanerService deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SpywareCleanerService deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SPYWARECLEANERSERVICE deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\Application\SpywareCleanerService deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SpywareCleanerService deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYWARECLEANERSERVICE not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYWARECLEANERSERVICE failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPYWARECLEANERSERVICE
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SpywareCleanerService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SpywareCleanerService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\SpywareCleanerService
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SpywareCleanerService not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SpywareCleanerService failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SpywareCleanerService
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_SVCPROC\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SvcProc
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc
Status: 0xc0000034



File C:\WINDOWS\system32\tdnunebtg.exe not found!
Deletion of file C:\WINDOWS\system32\tdnunebtg.exe failed!

Could not process line:
C:\WINDOWS\system32\tdnunebtg.exe
Status: 0xc0000034



File C:\WINDOWS\system32\p2pnetworking.exe not found!
Deletion of file C:\WINDOWS\system32\p2pnetworking.exe failed!

Could not process line:
C:\WINDOWS\system32\p2pnetworking.exe
Status: 0xc0000034



File C:\WINDOWS\system32\scvhost.exe not found!
Deletion of file C:\WINDOWS\system32\scvhost.exe failed!

Could not process line:
C:\WINDOWS\system32\scvhost.exe
Status: 0xc0000034



File C:\Programme\DNSaffid.dat not found!
Deletion of file C:\Programme\DNSaffid.dat failed!

Could not process line:
C:\Programme\DNSaffid.dat
Status: 0xc0000034



File C:\Programme\DNScwebpage.dll not found!
Deletion of file C:\Programme\DNScwebpage.dll failed!

Could not process line:
C:\Programme\DNScwebpage.dll
Status: 0xc0000034



File C:\Programme\DNSx.bmp not found!
Deletion of file C:\Programme\DNSx.bmp failed!

Could not process line:
C:\Programme\DNSx.bmp
Status: 0xc0000034



File C:\Programme\DNSgui.exe not found!
Deletion of file C:\Programme\DNSgui.exe failed!

Could not process line:
C:\Programme\DNSgui.exe
Status: 0xc0000034



File C:\Programme\DNScatcher.dll not found!
Deletion of file C:\Programme\DNScatcher.dll failed!

Could not process line:
C:\Programme\DNScatcher.dll
Status: 0xc0000034



File C:\Programme\DNSuid.dat not found!
Deletion of file C:\Programme\DNSuid.dat failed!

Could not process line:
C:\Programme\DNSuid.dat
Status: 0xc0000034



File C:\Programme\DNSurls.dat not found!
Deletion of file C:\Programme\DNSurls.dat failed!

Could not process line:
C:\Programme\DNSurls.dat
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\services.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\services.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\services.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\system32.dll not found!
Deletion of file C:\Programme\Gemeinsame Dateien\system32.dll failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\system32.dll
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\Windows\services32.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Windows\services32.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Windows\services32.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\Windows\ack.html not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Windows\ack.html failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Windows\ack.html
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Windows\AutoIt3.exe
Status: 0xc0000034



File C:\Programme\Gemeinsame Dateien\Windows\request.html not found!
Deletion of file C:\Programme\Gemeinsame Dateien\Windows\request.html failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\Windows\request.html
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Yasin\Desktop\IceCold ReLoaded.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Yasin\Desktop\IceCold ReLoaded.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Yasin\Desktop\IceCold ReLoaded.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Aber hab irgent wie noch ein Problem.
Zurzeit startet sich mein Rechner nach ner Weile ganz von alleine neu.
Ehm gibts etwas was ich dagegen tun kann ?

#10 scanne mit Counterspy, stelle nach dem scan alles auf "remove" und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 text passt nicht rein o.O
soll ich bei www.rapidshare.de uppen?

#12 nein, es gibt einen Anhang (siehe unten) , kannst du als textdatei dort posten
__________
MfG Sabina

rund um die PC-Sicherheit

#13 achso sorry nicht gesehn.
Aber da steht irgent was von :
IMesh , Bearshare und eDonkey
obwohl ich keine P2P progs use o.O

#14 1.
Counterspy killt immer nur einen Teil Dateien. Man muss also immer wieder den Quarantäne-Ordner von Counterspy leeren und wieder neu damit scannen, solange bis Counterspy nichts mehr findet.

2.

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: AuroraHandlerObj Class - {4AA870AC-8427-42a4-B92E-ECD956197489} - C:\WINDOWS\AuroraHandler.dll (file missing)
O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\hwachxso.dll (file missing)
2 - BHO: winvbie.dll - {C4F147D7-BF25-488E-A12B-EFD43E7029BF} - C:\WINDOWS\system32\winvbie.dll (file missing)
O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll (file missing)
O2 - BHO: IEWebCatcher Class - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Programme\DNS\Catcher.dll (file missing)

O4 - HKLM\..\Run: [winupdate] C:\Programme\winupdate\winupdate.exe /auto
O4 - HKLM\..\Run: [Windows ExpIorer] tdnunebtg.exe
O4 - HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\Run: [MsUpdate] C:\Programme\MsUpdate\MsUpdate.exe /auto
O4 - HKLM\..\Run: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 - HKLM\..\RunServices: [Windows ExpIorer] tdnunebtg.exe
O4 - HKLM\..\RunServices: [ms-update] scvhost.exe
O4 - HKLM\..\RunServices: [GLSetIT32] C:\windows\system32\wie geil.exe

O23 - Service: SpywareCleanerService - Unknown owner - C:\Programme\Spyware Cleaner\SCService.exe (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe (file missing)

PC neustarten

3.
poste das log von winpfind
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Items found in C:\WINDOWS\hosts

UPX! 13.10.2005 22:27:00 RHS 422400 C:\WINDOWS\x2.64.exe

Checking %System% folder...
SAHAgent 21.07.2005 15:14:52 35 C:\WINDOWS\SYSTEM32\2jj9o5u8.ini
SAHAgent 15.08.2005 01:35:48 3637 C:\WINDOWS\SYSTEM32\7bohpo4j.ini
UPX! 07.10.2005 20:14:52 RHS 308224 C:\WINDOWS\SYSTEM32\avisynth.dll
UPX! 01.03.2006 15:44:50 167936 C:\WINDOWS\SYSTEM32\CoreAAC.ax
PEC2 18.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 25.01.2004 01:00:00 RHS 70656 C:\WINDOWS\SYSTEM32\i420vfw.dll
aspack 07.07.2006 03:21:46 6757792 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
SAHAgent 21.07.2005 15:14:52 35 C:\WINDOWS\SYSTEM32\oeb4rv75.ini
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 11.11.2003 22:52:20 412672 C:\WINDOWS\SYSTEM32\vbskpro2.ocx
winsync 18.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
PTech 19.06.2006 16:19:26 304944 C:\WINDOWS\SYSTEM32\WgaTray.exe
UPX! 28.02.2005 14:16:22 RHS 240128 C:\WINDOWS\SYSTEM32\x.264.exe
UPX! 25.01.2004 01:00:00 RHS 70656 C:\WINDOWS\SYSTEM32\yv12vfw.dll

Checking %System%\Drivers folder and sub-folders...
UPX! 16.07.2006 06:36:02 776096 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
FSG! 16.07.2006 06:36:02 776096 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
PEC2 16.07.2006 06:36:02 776096 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
aspack 16.07.2006 06:36:02 776096 C:\WINDOWS\SYSTEM32\drivers\avg7core.sys
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
18.07.2006 10:38:54 S 2048 C:\WINDOWS\bootstat.dat
15.07.2006 18:24:12 H 54156 C:\WINDOWS\QTFont.qfn
19.05.2006 17:53:42 S 16203 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB914388.cat
29.05.2006 18:16:04 S 23751 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB916281.cat
01.06.2006 22:28:44 S 11043 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB918439.cat
22.05.2006 15:07:50 S 7645 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\oem8.CAT
19.06.2006 16:20:58 S 7160 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\WgaNotify.cat
18.07.2006 11:34:56 H 1024 C:\WINDOWS\system32\config\DEFAULT.LOG
18.07.2006 10:38:56 H 1024 C:\WINDOWS\system32\config\SAM.LOG
18.07.2006 11:35:04 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
18.07.2006 12:59:20 H 180224 C:\WINDOWS\system32\config\SOFTWARE.LOG
18.07.2006 12:48:44 H 28672 C:\WINDOWS\system32\config\SYSTEM.LOG
12.07.2006 09:38:32 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
07.06.2006 17:31:48 S 341 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\303572DF538EDD8B1D606185F1D559B8
07.06.2006 17:31:48 S 413 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\79841F8EF00FBA86D33CC5A47696F165
11.07.2006 18:45:28 S 574 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\904590238400AD963F77FAAAADC9BAB5
07.06.2006 17:31:48 S 126 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\303572DF538EDD8B1D606185F1D559B8
07.06.2006 17:31:48 S 98 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\79841F8EF00FBA86D33CC5A47696F165
11.07.2006 18:45:28 S 136 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\904590238400AD963F77FAAAADC9BAB5
03.07.2006 13:46:36 H 0 C:\WINDOWS\system32\drivers\umdf\MsftWdf_user_01_00_00.Wdf
03.07.2006 13:43:16 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\7c0589d3-6a02-4a2a-b1db-2daa3f4db7ad
03.07.2006 13:43:16 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
10.07.2006 02:21:48 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\cb0092a8-3464-48e5-9117-38b1eb8ea0f7
10.07.2006 02:21:48 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
18.07.2006 10:38:56 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 13:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Apple Computer, Inc. 14.12.2003 09:20:50 323072 C:\WINDOWS\SYSTEM32\QuickTime.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Creative Technology Ltd. 18.02.2004 09:52:50 176128 C:\WINDOWS\SYSTEM32\USBAudio.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 18.08.2001 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 18.08.2001 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 04.08.2004 09:58:22 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 18.08.2001 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
14.04.2005 14:06:20 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
09.02.2006 05:28:10 305 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
14.04.2005 14:53:50 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
14.04.2005 14:06:20 HS 84 C:\Dokumente und Einstellungen\Yasin\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
14.04.2005 14:53:50 HS 62 C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\desktop.ini
14.04.2005 15:10:24 0 C:\Dokumente und Einstellungen\Yasin\Anwendungsdaten\wklnhst.dat

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\AVG7 Shell Extension
{9F97547E-4609-42C5-AE0C-81C61FFAEBC3} = C:\Programme\Grisoft\AVG Free\avgse.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\Shell Extension for Malware scanning
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} = C:\Programme\AntiVir PersonalEdition Classic\shlext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido anti-spyware
{8934FCEF-F5B8-468f-951F-78A921CD3920} = C:\Programme\ewido anti-spyware 4.0\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0561EC90-CE54-4f0c-9C55-E226110A740C}
= C:\WINDOWS\system32\haali\mmfinfo.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = :
{855F3B16-6D32-4FE6-8A56-BBB695989046} = :
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{EF99BD32-C1FB-11D2-892F-0090271D4F88} = Yahoo! Toolbar :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
!ewido "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
WinampAgent C:\Programme\Winamp\winampa.exe
SunServer C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
msnmsgr "C:\Programme\MSN Messenger\msnmsgr.exe" /background
Steam "C:\Programme\Steam\Steam.exe" -silent

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
CounterSpyCleaner C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunASCleaner.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BearShare
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item BearShare
hkey HKLM
command "C:\Programme\BearShare\BearShare.exe" /pause
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item BearShare
hkey HKLM
command "C:\Programme\BearShare\BearShare.exe" /pause
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChrisTV Agent
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ChrisTV_Agent
hkey HKLM
command "C:\Programme\ChrisTV Lite\ChrisTV_Agent.exe"
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ChrisTV_Agent
hkey HKLM
command "C:\Programme\ChrisTV Lite\ChrisTV_Agent.exe"
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GLSetIT32
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item wie geil
hkey HKLM
command C:\windows\system32\wie geil.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item wie geil
hkey HKLM
command C:\windows\system32\wie geil.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 0
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun ÿ

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System
DisableRegistryTools 0


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 18.07.2006 13:36:34