Wie entferne ich Spywarequake etc.?

#16 Logfile of HijackThis v1.99.1
Scan saved at 21:07:21, on 23.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\SLEE11.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
D:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Titlebar Time\Titlebar Time.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {016174B1-D803-48E8-87E8-7C5641A86DA2} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1492BAE0-CBF4-4218-820F-A8441B70E9A0} - (no file)
O2 - BHO: (no name) - {1913D3AB-8615-4957-9498-339BC7F1D6F9} - (no file)
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - (no file)
O2 - BHO: (no name) - {69A14BE9-985A-4FED-B102-0EAD1D0ABE06} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file)
O2 - BHO: (no name) - {8CCBF1E8-0874-407B-B869-619A2806F74F} - C:\WINDOWS\system32\jkhfd.dll (file missing)
O2 - BHO: (no name) - {8D93946A-26F9-4F35-A085-B84ACA9C0BCA} - (no file)
O2 - BHO: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O2 - BHO: (no name) - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - (no file)
O2 - BHO: (no name) - {E60B3037-3739-4CBB-9FAE-3892B50F2CB0} - (no file)
O2 - BHO: (no name) - {EAE95492-5808-4E83-BD5A-FEBFB32B90D2} - (no file)
O2 - BHO: (no name) - {ED9D3482-EC3E-45DF-9976-8F45B2EFD86D} - (no file)
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Titlebar Time] C:\Programme\Titlebar Time\Titlebar Time.exe
O4 - HKCU\..\Run: [Aoeb] "C:\WINDOWS\system32\SMBOLS~1\svchost.exe" -vt yazr
O4 - HKCU\..\Run: [Blkntk] C:\WINDOWS\RACLE~1\svchost.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121507466352
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{544A9B98-0B8F-4A91-952A-074E44E931F2}: NameServer = 195.50.140.250 195.50.140.114
O20 - Winlogon Notify: jkhfd - C:\WINDOWS\
O20 - Winlogon Notify: winodn32 - winodn32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE11.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

#17 Step

öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {016174B1-D803-48E8-87E8-7C5641A86DA2} - (no file)
O2 - BHO: (no name) - {1492BAE0-CBF4-4218-820F-A8441B70E9A0} - (no file)
O2 - BHO: (no name) - {1913D3AB-8615-4957-9498-339BC7F1D6F9} - (no file)
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - (no file)
O2 - BHO: (no name) - {69A14BE9-985A-4FED-B102-0EAD1D0ABE06} - (no file)
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file)
O2 - BHO: (no name) - {8CCBF1E8-0874-407B-B869-619A2806F74F} - C:\WINDOWS\system32\jkhfd.dll (file missing)
O2 - BHO: (no name) - {8D93946A-26F9-4F35-A085-B84ACA9C0BCA} - (no file)
O2 - BHO: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O2 - BHO: (no name) - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - (no file)
O2 - BHO: (no name) - {E60B3037-3739-4CBB-9FAE-3892B50F2CB0} - (no file)
O2 - BHO: (no name) - {EAE95492-5808-4E83-BD5A-FEBFB32B90D2} - (no file)
O2 - BHO: (no name) - {ED9D3482-EC3E-45DF-9976-8F45B2EFD86D} - (no file)

O4 - HKCU\..\Run: [Titlebar Time] C:\Programme\Titlebar Time\Titlebar Time.exe
O4 - HKCU\..\Run: [Aoeb] "C:\WINDOWS\system32\SMBOLS~1\svchost.exe" -vt yazr
O4 - HKCU\..\Run: [Blkntk] C:\WINDOWS\RACLE~1\svchost.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe

O20 - Winlogon Notify: jkhfd - C:\WINDOWS\
O20 - Winlogon Notify: winodn32 - winodn32.dll (file missing)

PC neustarten

scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Incident Status Location

Adware:adware/sidesearch Not disinfected Windows Registry
Adware:Adware/DollarRevenue Not disinfected C:\!KillBox\b121.exe[²ÜÇ\System.dll]
Adware:Adware/DollarRevenue Not disinfected C:\!KillBox\b121.exe[tc.exe][²ÜÇ\System.dll]
Adware:Adware/MaxFiles Not disinfected C:\!KillBox\b122.exe
Adware:Adware/SpywareQuake Not disinfected C:\!KillBox\sa6CB.exe
Spyware:Spyware/Virtumonde Not disinfected C:\!KillBox\services.dll
Adware:Adware/DollarRevenue Not disinfected C:\!KillBox\tclock_install.exe[²ÜÇ\System.dll]
Adware:Adware/PurityScan Not disinfected C:\!KillBox\win62B.tmp.exe
Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@888[1].txt
Spyware:Cookie/888 Not disinfected C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@888[2].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@as-eu.falkag[1].txt
Spyware:Cookie/Cassava Not disinfected C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@cassava[1].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@errorsafe[2].txt
Spyware:Cookie/ErrorSafe Not disinfected C:\Dokumente und Einstellungen\Stefan\Cookies\stefan@www.errorsafe[2].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stefan\Desktop\SmitfraudFix\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Stefan\Desktop\smitRem\Process.exe
Adware:Adware/MaxFiles Not disinfected C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\2JKTMB0V\122[1].net
Adware:Adware/DollarRevenue Not disinfected C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\DRT8P45W\121[1].net[²ÜÇ\System.dll]
Adware:Adware/DollarRevenue Not disinfected C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\DRT8P45W\121[1].net[tc.exe][²ÜÇ\System.dll]

#19 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\2JKTMB0V\122[1].net

2.
loesche:C:\!KillBox

3.
Lade, scanne und lasse auch die Datentraegerbereinigung durchfuehren. poste dann das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Start Time= 29.07.2006 12:00:34,39
Running from: C:\Dokumente und Einstellungen\Stefan\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-07-21 12:27:46 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-07-14 11:35:26 ( .D... ) "C:\Programme\CleanUp!"
2006-07-11 14:27:50 ( .D... ) "C:\Dokumente und Einstellungen\Stefan\Anwendungsdaten\Lavasoft"
2006-07-11 14:27:32 ( .D... ) "C:\Programme\Lavasoft"
2006-07-11 14:24:10 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-07-10 11:45:40 ( .D... ) "C:\Programme\Human Head Studios"
2006-07-07 01:42:16 ( .D... ) "C:\Programme\Codemasters"
2006-07-07 00:25:54 ( .D... ) "C:\Programme\Midway Home Entertainment"
2006-07-05 13:44:18 ( .D... ) "C:\Programme\DAEMON Tools"
2006-06-23 13:16:12 ( .D... ) "C:\Programme\Pariah"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-05-16 10:38:40 348160 ( A.... ) "C:\WINDOWS\system32\msvcr71.dll"
2006-04-29 14:25:34 40960 ( A.... ) "C:\WINDOWS\system32\psfind.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-28 16:34 73.728 C:\WINDOWS\system32\asuninst.exe
2006-07-28 16:34 11.776 C:\WINDOWS\system32\ZPORT4AS.dll
2006-07-06 21:25 40.960 C:\WINDOWS\system32\psfind.dll
2006-07-06 21:25 1.060.864 C:\WINDOWS\system32\mfc71.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"AVK Mail Checker"="\"C:\\Programme\\Gemeinsame Dateien\\G DATA\\AVKMail\\AVKPOP.EXE\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"WinampAgent"="D:\\Programme\\Winamp\\winampa.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"Titlebar Time"="C:\\Programme\\Titlebar Time\\Titlebar Time.exe"
"Aoeb"="\"C:\\WINDOWS\\system32\\SMBOLS~1\\svchost.exe\" -vt yazr"
"Blkntk"="C:\\WINDOWS\\RACLE~1\\svchost.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{A4B62D10-0A64-1031-0826-040208050031}"="\"C:\\Programme\\Gemeinsame Dateien\\{A4B62D10-0A64-1031-0826-040208050031}\\Update.exe\" mc-110-12-0000272"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SAFE8"="\"C:\\Programme\\Steganos Safe 8\\SAFE8.exe\" -boot"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"SAFE8"="\"C:\\Programme\\Steganos Safe 8\\SAFE8.exe\" -firstboot"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"SAFE8"="\"C:\\Programme\\Steganos Safe 8\\SAFE8.exe\" -firstboot"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Spooler"=dword:00000002

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 29.07.2006 12:01:01,65
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt

#21 Start > Ausfuehren --> reinschreiben --> cmd.exe
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#22 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A4B6-2D10

Verzeichnis von c:\WINDOWS\system32

31.12.2002 14:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

31.12.2002 14:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\?racle

28.06.2006 17:11 495.616 svchost.exe
1 Datei(en) 495.616 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 524.288 Bytes
0 Verzeichnis(se), 14.575.779.840 Bytes frei

#23 Step

0.
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Aoeb"=-
"Blkntk"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{A4B62D10-0A64-1031-0826-040208050031}"=-

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

2.
loesche:

C:\Programme\Gemeinsame Dateien\{A4B62D10-0A64-1031-0826-040208050031}

das ist der Purityscan, das Fragezeichen erscheint nur hier , in Wirklichkeit sind es "kryptische" Zeichen

C:\WINDOWS\....racle
C:\WINDOWS\system32\...YMBOLS

Zitat

C:\WINDOWS\system32\SMBOLS~1\\svchost.exe\
C:\WINDOWS\RACLE~1\svchost.exe

Beispiel:




3.
scanne noch mal mit ewido (im abgesicherten Modus) und poste den report

4.
desinstalliere:
C:\Programme\DAEMON Tools
__________
MfG Sabina

rund um die PC-Sicherheit

#24 hallo. wäre nett, wenn ihr mir helfen könntet! ich bin schon ganz verzweifelt! mfg, samonte

-----------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:34:11, on 08.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\LimeWire\LimeWire.exe
C:\DOKUME~1\Rachelle\LOKALE~1\Temp\win30.tmp.exe
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\ismon.exe
C:\WINDOWS\System32\issearch.exe
C:\WINDOWS\System32\isnotify.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rachelle\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chello.at/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [3a056365.exe] C:\WINDOWS\System32\3a056365.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\RunOnce: [UPI11_COM] Regsvr32.exe /s "C:\Programme\Ulead Systems\Ulead PhotoImpact 11\upiExtractImage.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [3a056365.exe] C:\Dokumente und Einstellungen\Rachelle\Lokale Einstellungen\Anwendungsdaten\3a056365.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/e7a45e36ff37b237ed74d1195ead65d4_35.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs:
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\System32\urroxtl.dll
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#25 samonte

ein Rechner ohne Windowsupdates...du hast Mut, dich so ins Internet zu trauen

-----------------------------------------------------------------------------

1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

4.
poste dieses lOG
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#26 1.LOG

Verzeichnis von C:\WINDOWS\system32

09.08.2006 16:20 275.202 dghjl.ini2
09.08.2006 16:07 273.998 dghjl.bak2
09.08.2006 16:07 21.504 ixt0.dll
09.08.2006 16:07 4.608 ismon.exe
09.08.2006 14:41 33.792 issearch.exe
09.08.2006 14:41 4.286 ot.ico
09.08.2006 14:41 4.286 ts.ico
08.08.2006 21:52 159.544 FNTCACHE.DAT
08.08.2006 21:03 271.496 dghjl.ini
08.08.2006 20:58 271.343 dghjl.tmp
08.08.2006 19:17 268.759 dghjl.bak1
08.08.2006 19:17 573.492 ljhgd.dll
08.08.2006 19:07 2 wtstr.exe
08.08.2006 19:05 176.128 urroxtl.dll
08.08.2006 19:05 8.700 isnotify.exe
08.08.2006 19:03 31.760 ishost.exe
08.08.2006 19:02 40.973 efcywuu.dll
08.08.2006 19:02 15.872 winusi32.dll
08.08.2006 17:08 45.056 cdrtc.dll
08.08.2006 17:08 45.056 cdral.dll
07.08.2006 18:54 25.065 wmpscheme.xml
07.08.2006 18:09 7.006 jupdate-1.5.0_06-b05.log
07.08.2006 18:00 1.140 qtplugin.log
07.08.2006 17:30 3 BSETUP.TMP
07.08.2006 17:21 0 h323log.txt
07.08.2006 17:14 3.621 jupdate-1.5.0_03-b07.log
07.08.2006 16:38 39.992 perfc009.dat
07.08.2006 16:38 311.604 perfh009.dat
07.08.2006 16:38 316.594 perfh007.dat
07.08.2006 16:38 48.156 perfc007.dat
07.08.2006 16:38 723.744 PerfStringBackup.INI
07.08.2006 16:38 12.980 wpa.dbl
07.08.2006 16:36 12.922 wpa.bak
07.08.2006 16:31 261 $winnt$.inf
07.08.2006 16:28 2.951 CONFIG.NT
07.08.2006 16:28 16.832 amcompat.tlb
07.08.2006 16:28 23.392 nscompat.tlb
07.08.2006 16:26 488 WindowsLogon.manifest
07.08.2006 16:26 488 logonui.exe.manifest
07.08.2006 16:26 749 nwc.cpl.manifest
07.08.2006 16:26 749 cdplayer.exe.manifest
07.08.2006 16:26 749 sapi.cpl.manifest
07.08.2006 16:26 749 wuaucpl.cpl.manifest
07.08.2006 16:26 749 ncpa.cpl.manifest
07.08.2006 16:24 21.740 emptyregdb.dat
04.08.2006 17:37 73.728 dpl100.dll
04.08.2006 17:37 196.608 dtu100.dll
27.07.2006 04:05 3.596.288 qt-dx331.dll
27.07.2006 04:05 108.544 pxcpyi64.exe
27.07.2006 04:05 109.568 pxinsi64.exe
25.07.2006 18:03 466.944 capicom.dll
03.07.2006 23:40 778.240 divx_xx07.dll
03.07.2006 23:40 778.240 divx_xx0c.dll
03.07.2006 23:40 761.856 divx_xx11.dll
03.07.2006 23:40 620.180 DivX.dll
27.06.2006 03:28 704.512 divxdec.ax
21.06.2006 21:41 352.401 DivXMedia.ax
21.06.2006 12:49 53.248 dpuGUI10.dll
21.06.2006 12:43 4.276 divxsm.tlb
21.06.2006 12:43 520.192 DivXsm.exe
21.06.2006 12:43 10.863 dsm_ja.qm
21.06.2006 12:43 15.507 dsm_de.qm
21.06.2006 12:43 15.299 dsm_fr.qm
21.06.2006 12:42 1.044.480 libdivx.dll
21.06.2006 12:42 200.704 ssldivx.dll
21.06.2006 12:34 593.920 dpuGUI11.dll
21.06.2006 12:34 344.064 dpus11.dll
21.06.2006 12:34 57.344 dpv11.dll
21.06.2006 12:34 294.912 dpu10.dll
21.06.2006 12:34 294.912 dpu11.dll
21.06.2006 12:33 12.288 DivXWMPExtType.dll
21.06.2006 12:33 118.784 DivXCodecUpdateChecker.exe
21.06.2006 12:33 8.523 dpude.qm
21.06.2006 12:33 3.136 dtu_de.qm
16.06.2006 14:34 48.936 sirenacm.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 57.344 pxcpya64.exe

---------------------------------------------------------------------
2.LOG

Verzeichnis von C:\DOKUME~1\Rachelle\LOKALE~1\Temp

09.08.2006 16:17 203 jusched.log
1 Datei(en) 203 Bytes
0 Verzeichnis(se), 15.790.280.704 Bytes frei

---------------------------------------------------------------------

3.LOG

Verzeichnis von C:\WINDOWS

09.08.2006 16:07 167.205 WindowsUpdate.log
09.08.2006 15:59 0 0.log
09.08.2006 15:59 159 wiadebug.log
09.08.2006 15:59 50 wiaservc.log
09.08.2006 15:58 2.048 bootstat.dat
09.08.2006 15:09 5.146 SchedLgU.Txt
08.08.2006 19:39 2.904 mozver.dat
08.08.2006 19:30 0 nsreg.dat
08.08.2006 19:05 407.980 setupapi.log
08.08.2006 17:08 40.960 uneng.exe
08.08.2006 17:07 316.640 WMSysPr9.prx
08.08.2006 01:18 33.949 LUINSTALL.LOG
07.08.2006 18:54 1.165 OEWABLog.txt
07.08.2006 17:48 2.766 Windows Update.log
07.08.2006 17:32 15.477 wmsetup.log
07.08.2006 17:30 299.552 WMSysPrx.prx
07.08.2006 17:20 2.586 regopt.log
07.08.2006 17:19 0 Sti_Trace.log
07.08.2006 17:16 231 system.ini
07.08.2006 17:15 0 setuperr.log
07.08.2006 16:46 1.657 iis6.log
07.08.2006 16:46 17.760 comsetup.log
07.08.2006 16:46 8.983 ntdtcsetup.log
07.08.2006 16:46 1.355 imsins.log
07.08.2006 16:46 10.663 tsoc.log
07.08.2006 16:46 13.673 KB893803v2.log
07.08.2006 16:46 15.297 ocgen.log
07.08.2006 16:46 1.128 msgsocm.log
07.08.2006 16:46 1.277 ocmsn.log
07.08.2006 16:46 17.719 FaxSetup.log
07.08.2006 16:38 735.780 setuplog.txt
07.08.2006 16:37 203 nsw.log
07.08.2006 16:32 8.192 REGLOCS.OLD
07.08.2006 16:31 4.326 imsins.BAK
07.08.2006 16:31 175.093 setupact.log
07.08.2006 16:28 0 control.ini
07.08.2006 16:28 504 win.ini
07.08.2006 16:28 4.161 ODBCINST.INI
07.08.2006 16:26 749 WindowsShell.Manifest
07.08.2006 16:24 37 vbaddin.ini
07.08.2006 16:24 36 vb.ini
07.08.2006 16:24 128 DtcInstall.log
07.08.2006 16:24 1.060 sessmgr.setup.log

----------------------------------------------------------------

4.LOG

Verzeichnis von C:\

09.08.2006 16:31 0 sys.txt
09.08.2006 16:27 3.994 system.txt
09.08.2006 16:27 295 systemtemp.txt
09.08.2006 16:27 86.766 system32.txt
09.08.2006 16:01 244 sqmnoopt01.sqm
09.08.2006 16:01 268 sqmdata01.sqm
09.08.2006 15:58 267.964.416 hiberfil.sys
09.08.2006 15:58 402.653.184 pagefile.sys
08.08.2006 17:08 268 sqmdata00.sqm
08.08.2006 17:08 244 sqmnoopt00.sqm
07.08.2006 16:28 0 MSDOS.SYS
07.08.2006 16:28 0 CONFIG.SYS
07.08.2006 16:28 0 IO.SYS
07.08.2006 16:28 0 AUTOEXEC.BAT
07.08.2006 16:21 194 boot.ini
31.10.2005 17:56 700.416 StubInstaller.exe
18.08.2001 14:00 4.952 bootfont.bin
18.08.2001 14:00 224.032 ntldr
18.08.2001 14:00 45.124 NTDETECT.COM
19 Datei(en) 671.684.397 Bytes
0 Verzeichnis(se), 15.790.010.368 Bytes frei

--------------------------------------------------------------------
echozip:

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 841F-863B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
1 Datei(en) 5.032 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.032 Bytes
0 Verzeichnis(se), 15.790.010.368 Bytes frei
10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 841F-863B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 11:41 5.032 swflash.inf
1 Datei(en) 5.032 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.032 Bytes
0 Verzeichnis(se), 15.789.969.408 Bytes frei

-----------------------------------------------------------------------

Combofix:

Start Time= 09.08.2006 16:35:55,29
Running from: C:\Programme\Mozilla Firefox

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-09 16:07:46 21504 ( A.... ) "C:\WINDOWS\system32\ixt0.dll"
2006-08-09 16:07:46 4608 ( A.... ) "C:\WINDOWS\system32\ismon.exe"
2006-08-09 16:04:02 ( .D... ) "C:\Programme\CleanUp!"
2006-08-09 14:41:54 ( .D... ) "C:\Programme\Safety Bar"
2006-08-09 14:41:20 33792 ( A.... ) "C:\WINDOWS\system32\issearch.exe"
2006-08-08 19:47:32 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\Ulead Systems"
2006-08-08 19:30:04 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\Mozilla"
2006-08-08 19:29:54 ( .D... ) "C:\Programme\Mozilla Firefox"
2006-08-08 19:17:02 573492 ( ..SH. ) "C:\WINDOWS\system32\ljhgd.dll"
2006-08-08 19:07:30 2 ( A.... ) "C:\WINDOWS\system32\wtstr.exe"
2006-08-08 19:06:06 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\?racle"
2006-08-08 19:05:14 176128 ( A.... ) "C:\WINDOWS\system32\urroxtl.dll"
2006-08-08 19:05:12 8700 ( A.... ) "C:\WINDOWS\system32\isnotify.exe"
2006-08-08 19:03:38 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\s?stem32"
2006-08-08 19:03:08 ( .D... ) "C:\Programme\Gemeinsame Dateien\{841F863B-069C-1031-0125-02020514002b}"
2006-08-08 19:03:06 31760 ( ..... ) "C:\WINDOWS\system32\ishost.exe"
2006-08-08 19:02:54 40973 ( ..SH. ) "C:\WINDOWS\system32\efcywuu.dll"
2006-08-08 19:02:48 15872 ( A.... ) "C:\WINDOWS\system32\winusi32.dll"
2006-08-08 18:58:50 ( .D... ) "C:\Programme\Gemeinsame Dateien\Ulead Systems"
2006-08-08 18:58:38 ( .D... ) "C:\Programme\Ulead Systems"
2006-08-08 17:08:16 45056 ( A.... ) "C:\WINDOWS\system32\cdrtc.dll"
2006-08-08 17:08:16 45056 ( A.... ) "C:\WINDOWS\system32\cdral.dll"
2006-08-08 17:08:16 40960 ( A.... ) "C:\WINDOWS\uneng.exe"
2006-08-08 17:07:56 ( .D... ) "C:\Programme\Gemeinsame Dateien\Adaptec Shared"
2006-08-08 17:07:56 ( .D... ) "C:\Programme\Adaptec"
2006-08-08 16:28:50 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\InterVideo"
2006-08-08 16:27:20 ( .D... ) "C:\Programme\InterVideo"
2006-08-07 18:24:08 ( .D... ) "C:\Programme\MSN Messenger"
2006-08-07 18:06:20 ( .D... ) "C:\Programme\DivX"
2006-08-07 18:00:54 ( .D.H. ) "C:\Programme\InstallShield Installation Information"
2006-08-07 18:00:50 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\Apple Computer"
2006-08-07 18:00:16 ( .D... ) "C:\Programme\QuickTime"
2006-08-07 18:00:06 ( .D... ) "C:\Programme\iTunes"
2006-08-07 17:57:54 ( .D... ) "C:\Programme\iPod"
2006-08-07 17:36:58 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\Macromedia"
2006-08-07 17:25:02 ( .D... ) "C:\Programme\Winamp"
2006-08-07 17:16:56 ( .D... ) "C:\Programme\Gemeinsame Dateien\ODBC"
2006-08-07 17:16:52 ( .D... ) "C:\Programme\Gemeinsame Dateien\SpeechEngines"
2006-08-07 17:16:52 ( .D... ) "C:\Programme\Gemeinsame Dateien\Microsoft Shared"
2006-08-07 17:16:52 ( .D... ) "C:\Programme\Gemeinsame Dateien"
2006-08-07 17:16:28 62 ( A.SH. ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\desktop.ini"
2006-08-07 17:12:00 ( .D... ) "C:\Programme\Java"
2006-08-07 17:11:20 ( .D... ) "C:\Programme\Gemeinsame Dateien\Java"
2006-08-07 17:10:06 ( .D... ) "C:\Programme\LimeWire"
2006-08-07 17:00:48 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\Symantec"
2006-08-07 16:49:08 ( .D... ) "C:\Programme\Gemeinsame Dateien\InstallShield"
2006-08-07 16:48:14 ( .D... ) "C:\Programme\Norton AntiVirus"
2006-08-07 16:47:40 ( .D... ) "C:\Programme\Symantec"
2006-08-07 16:47:20 ( .D... ) "C:\Programme\Gemeinsame Dateien\Symantec Shared"
2006-08-07 16:38:18 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\Identities"
2006-08-07 16:38:14 ( .D.H. ) "C:\Programme\Uninstall Information"
2006-08-07 16:38:08 ( .DS.. ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\Microsoft"
2006-08-07 16:28:48 ( .D... ) "C:\Programme\xerox"
2006-08-07 16:28:48 ( .D... ) "C:\Programme\microsoft frontpage"
2006-08-07 16:28:32 0 ( A.... ) "C:\AUTOEXEC.BAT"
2006-08-07 16:26:22 ( .D... ) "C:\Programme\Online-Dienste"
2006-08-07 16:25:46 ( .D... ) "C:\Programme\Movie Maker"
2006-08-07 16:25:20 ( .D... ) "C:\Programme\Windows Media Player"
2006-08-07 16:25:16 ( .D... ) "C:\Programme\NetMeeting"
2006-08-07 16:25:14 ( .D... ) "C:\Programme\Gemeinsame Dateien\Dienste"
2006-08-07 16:25:10 ( .D... ) "C:\Programme\Outlook Express"
2006-08-07 16:25:06 ( .D... ) "C:\Programme\Gemeinsame Dateien\MSSoap"
2006-08-07 16:25:02 ( .D... ) "C:\Programme\Internet Explorer"
2006-08-07 16:25:02 ( .D... ) "C:\Programme\Gemeinsame Dateien\System"
2006-08-07 16:24:40 ( .D... ) "C:\Programme\ComPlus Applications"
2006-08-07 16:23:46 ( .D.H. ) "C:\Programme\WindowsUpdate"
2006-08-07 16:23:46 ( .D... ) "C:\Programme\Online Services"
2006-08-07 16:23:36 ( .D... ) "C:\Programme\Messenger"
2006-08-07 16:23:30 ( .D... ) "C:\Programme\MSN"
2006-08-07 16:23:26 ( .D... ) "C:\Programme\MSN Gaming Zone"
2006-08-07 16:23:16 ( .D... ) "C:\Programme\Windows NT"
2006-08-04 17:37:38 196608 ( A.... ) "C:\WINDOWS\system32\dtu100.dll"
2006-08-04 17:37:38 73728 ( A.... ) "C:\WINDOWS\system32\dpl100.dll"
2006-07-27 04:06:00 3596288 ( A.... ) "C:\WINDOWS\system32\qt-dx331.dll"
2006-07-27 04:05:56 109568 ( ..... ) "C:\WINDOWS\system32\pxinsi64.exe"
2006-07-27 04:05:56 108544 ( ..... ) "C:\WINDOWS\system32\pxcpyi64.exe"
2006-07-25 18:03:44 466944 ( A.... ) "C:\WINDOWS\system32\capicom.dll"
2006-07-03 23:40:52 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx0c.dll"
2006-07-03 23:40:52 778240 ( A.... ) "C:\WINDOWS\system32\divx_xx07.dll"
2006-07-03 23:40:50 761856 ( A.... ) "C:\WINDOWS\system32\divx_xx11.dll"
2006-07-03 23:40:50 620180 ( A.... ) "C:\WINDOWS\system32\DivX.dll"
2006-06-21 12:49:48 53248 ( A.... ) "C:\WINDOWS\system32\dpuGUI10.dll"
2006-06-21 12:43:10 520192 ( A.... ) "C:\WINDOWS\system32\DivXsm.exe"
2006-06-21 12:42:58 1044480 ( A.... ) "C:\WINDOWS\system32\libdivx.dll"
2006-06-21 12:42:58 200704 ( A.... ) "C:\WINDOWS\system32\ssldivx.dll"
2006-06-21 12:34:22 593920 ( A.... ) "C:\WINDOWS\system32\dpuGUI11.dll"
2006-06-21 12:34:22 344064 ( A.... ) "C:\WINDOWS\system32\dpus11.dll"
2006-06-21 12:34:22 294912 ( A.... ) "C:\WINDOWS\system32\dpu11.dll"
2006-06-21 12:34:22 294912 ( A.... ) "C:\WINDOWS\system32\dpu10.dll"
2006-06-21 12:34:22 57344 ( A.... ) "C:\WINDOWS\system32\dpv11.dll"
2006-06-21 12:33:42 118784 ( A.... ) "C:\WINDOWS\system32\DivXCodecUpdateChecker.exe"
2006-06-21 12:33:42 12288 ( A.... ) "C:\WINDOWS\system32\DivXWMPExtType.dll"
2006-06-16 14:34:44 48936 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-08 19:16 573.492 C:\WINDOWS\system32\ljhgd.dll
2006-08-08 19:06 2 C:\WINDOWS\system32\wtstr.exe
2006-08-08 19:05 8.700 C:\WINDOWS\system32\isnotify.exe
2006-08-08 19:05 33.792 C:\WINDOWS\system32\issearch.exe
2006-08-08 19:05 21.504 C:\WINDOWS\system32\ixt0.dll
2006-08-08 19:05 176.128 C:\WINDOWS\system32\urroxtl.dll
2006-08-08 19:03 4.608 C:\WINDOWS\system32\ismon.exe
2006-08-08 19:03 31.760 C:\WINDOWS\system32\ishost.exe
2006-08-08 19:02 40.973 C:\WINDOWS\system32\efcywuu.dll
2006-08-08 19:02 15.872 C:\WINDOWS\system32\winusi32.dll
2006-08-08 16:55 466.200 C:\WINDOWS\system32\wuapi.dll
2006-08-08 16:55 41.240 C:\WINDOWS\system32\wups.dll
2006-08-08 16:55 194.840 C:\WINDOWS\system32\wuaueng1.dll
2006-08-08 16:55 174.872 C:\WINDOWS\system32\wuauclt1.exe
2006-08-08 16:55 173.536 C:\WINDOWS\system32\wuweb.dll
2006-08-08 16:55 128.280 C:\WINDOWS\system32\wucltui.dll
2006-08-08 16:48 310.272 C:\WINDOWS\system32\winhttp.dll
2006-08-07 18:11 402.653.184 C:\pagefile.sys
2006-08-07 18:09 49.250 C:\WINDOWS\system32\javaw.exe
2006-08-07 18:09 49.248 C:\WINDOWS\system32\java.exe
2006-08-07 18:09 127.078 C:\WINDOWS\system32\javaws.exe
2006-08-07 18:07 109.568 C:\WINDOWS\system32\pxinsi64.exe
2006-08-07 18:07 108.544 C:\WINDOWS\system32\pxcpyi64.exe
2006-08-07 18:00 86.016 C:\WINDOWS\unvise32qt.exe
2006-08-07 17:48 4.096 C:\WINDOWS\system32\ksuser.dll
2006-08-07 17:31 3.000 C:\WINDOWS\system32\SetupNT.sys
2006-08-07 17:19 50.176 C:\WINDOWS\system32\vfwwdm32.dll
2006-08-07 17:19 44.544 C:\WINDOWS\system32\OVUI2.dll
2006-08-07 17:19 43.520 C:\WINDOWS\system32\OVUI2RC.dll
2006-08-07 17:19 39.424 C:\WINDOWS\system32\OVComS.exe
2006-08-07 17:19 379.520 C:\WINDOWS\system32\atidvag.dll
2006-08-07 17:19 20.480 C:\WINDOWS\system32\OVComC.dll
2006-08-07 17:19 116.736 C:\WINDOWS\system32\OVCodec2.dll
2006-08-07 17:18 70.144 C:\WINDOWS\system32\usbui.dll
2006-08-07 17:16 86.556 C:\WINDOWS\system32\dgsetup.dll
2006-08-07 17:16 8.192 C:\WINDOWS\system32\kbdhept.dll
2006-08-07 17:16 72.192 C:\WINDOWS\system32\storprop.dll
2006-08-07 17:16 7.168 C:\WINDOWS\system32\kbdcz.dll
2006-08-07 17:16 67.072 C:\WINDOWS\NOTEPAD.EXE
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdycl.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdsl1.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdsl.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdpl.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdhu.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdhela3.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdcz2.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdcz1.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\kbdcr.dll
2006-08-07 17:16 6.656 C:\WINDOWS\system32\KBDAL.DLL
2006-08-07 17:16 6.656 C:\WINDOWS\system32\batt.dll
2006-08-07 17:16 6.144 C:\WINDOWS\system32\kbdtuq.dll
2006-08-07 17:16 6.144 C:\WINDOWS\system32\kbdtuf.dll
2006-08-07 17:16 6.144 C:\WINDOWS\system32\kbdlv1.dll
2006-08-07 17:16 6.144 C:\WINDOWS\system32\kbdlv.dll
2006-08-07 17:16 6.144 C:\WINDOWS\system32\kbdhela2.dll
2006-08-07 17:16 6.144 C:\WINDOWS\system32\kbdgkl.dll
2006-08-07 17:16 6.144 C:\WINDOWS\system32\kbdest.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdycc.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbduzb.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdur.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdtat.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdru1.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdru.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdro.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdpl1.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdmon.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdlt1.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdlt.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdkyr.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdkaz.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdhu1.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdhe319.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdhe220.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdhe.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdbu.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdblr.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdazel.dll
2006-08-07 17:16 5.632 C:\WINDOWS\system32\kbdaze.dll
2006-08-07 17:16 24.661 C:\WINDOWS\system32\spxcoins.dll
2006-08-07 17:16 176.157 C:\WINDOWS\system32\dgrpsetu.dll
2006-08-07 17:16 15.872 C:\WINDOWS\TASKMAN.EXE
2006-08-07 17:16 13.824 C:\WINDOWS\system32\irclass.dll
2006-08-07 17:16 103.936 C:\WINDOWS\system32\EqnClass.Dll
2006-08-07 16:53 40.960 C:\WINDOWS\uneng.exe
2006-08-07 16:47 87.768 C:\WINDOWS\system32\S32EVNT1.DLL
2006-08-07 16:47 466.944 C:\WINDOWS\system32\capicom.dll
2006-08-07 16:38 267.964.416 C:\hiberfil.sys
2006-08-07 16:28 112.128 C:\WINDOWS\system32\mapi32.dll
2006-08-07 16:28 0 C:\MSDOS.SYS
2006-08-07 16:28 0 C:\IO.SYS
2006-08-07 16:28 0 C:\CONFIG.SYS
2006-08-07 16:28 0 C:\AUTOEXEC.BAT
2006-08-07 16:25 90.624 C:\WINDOWS\system32\msoert2.dll
2006-08-07 16:25 9.728 C:\WINDOWS\system32\mstinit.exe
2006-08-07 16:25 81.920 C:\WINDOWS\system32\isign32.dll
2006-08-07 16:25 73.728 C:\WINDOWS\system32\ils.dll
2006-08-07 16:25 70.144 C:\WINDOWS\system32\acctres.dll
2006-08-07 16:25 69.632 C:\WINDOWS\system32\icwdial.dll
2006-08-07 16:25 65.536 C:\WINDOWS\system32\msconf.dll
2006-08-07 16:25 61.952 C:\WINDOWS\system32\srclient.dll
2006-08-07 16:25 61.440 C:\WINDOWS\system32\icwphbk.dll
2006-08-07 16:25 593.920 C:\WINDOWS\system32\inetcomm.dll
2006-08-07 16:25 51.200 C:\WINDOWS\system32\inetres.dll
2006-08-07 16:25 40.960 C:\WINDOWS\system32\safrslv.dll
2006-08-07 16:25 39.424 C:\WINDOWS\system32\safrcdlg.dll
2006-08-07 16:25 33.792 C:\WINDOWS\system32\racpldlg.dll
2006-08-07 16:25 32.768 C:\WINDOWS\system32\mnmsrvc.exe
2006-08-07 16:25 32.384 C:\WINDOWS\system32\mnmdd.dll
2006-08-07 16:25 28.672 C:\WINDOWS\system32\isrdbg32.dll
2006-08-07 16:25 274.432 C:\WINDOWS\system32\inetcfg.dll
2006-08-07 16:25 26.624 C:\WINDOWS\system32\safrdm.dll
2006-08-07 16:25 254.976 C:\WINDOWS\system32\mstask.dll
2006-08-07 16:25 24.576 C:\WINDOWS\system32\nmmkcert.dll
2006-08-07 16:25 228.864 C:\WINDOWS\system32\msoeacct.dll
2006-08-07 16:25 221.184 C:\WINDOWS\system32\srrstr.dll
2006-08-07 16:25 180.736 C:\WINDOWS\system32\qmgr.dll
2006-08-07 16:25 17.408 C:\WINDOWS\system32\qmgrprxy.dll
2006-08-07 16:25 16.384 C:\WINDOWS\system32\icfgnt5.dll
2006-08-07 16:25 159.744 C:\WINDOWS\system32\schedsvc.dll
2006-08-07 16:25 155.648 C:\WINDOWS\system32\srsvc.dll
2006-08-07 16:25 12.288 C:\WINDOWS\system32\nmevtmsg.dll
2006-08-07 16:25 11.264 C:\WINDOWS\system32\atrace.dll
2006-08-07 16:23 9.728 C:\WINDOWS\system32\xolehlp.dll
2006-08-07 16:23 89.600 C:\WINDOWS\system32\tscfgwmi.dll
2006-08-07 16:23 869.376 C:\WINDOWS\system32\msdtctm.dll
2006-08-07 16:23 85.504 C:\WINDOWS\system32\catsrvps.dll
2006-08-07 16:23 83.968 C:\WINDOWS\system32\mtxoci.dll
2006-08-07 16:23 82.432 C:\WINDOWS\system32\comrepl.dll
2006-08-07 16:23 80.896 C:\WINDOWS\system32\charmap.exe
2006-08-07 16:23 8.704 C:\WINDOWS\system32\icaapi.dll
2006-08-07 16:23 73.864 C:\WINDOWS\system32\rdpwsx.dll
2006-08-07 16:23 73.216 C:\WINDOWS\system32\avwav.dll
2006-08-07 16:23 683.520 C:\WINDOWS\system32\getuname.dll
2006-08-07 16:23 61.952 C:\WINDOWS\system32\rdshost.exe
2006-08-07 16:23 6.144 C:\WINDOWS\system32\msdtc.exe
2006-08-07 16:23 583.168 C:\WINDOWS\system32\catsrvut.dll
2006-08-07 16:23 57.344 C:\WINDOWS\system32\sol.exe
2006-08-07 16:23 57.344 C:\WINDOWS\system32\remotepg.dll
2006-08-07 16:23 56.832 C:\WINDOWS\system32\colbact.dll
2006-08-07 16:23 55.808 C:\WINDOWS\system32\freecell.exe
2006-08-07 16:23 54.784 C:\WINDOWS\system32\msdtclog.dll
2006-08-07 16:23 54.272 C:\WINDOWS\system32\stclient.dll
2006-08-07 16:23 534.528 C:\WINDOWS\system32\spider.exe
2006-08-07 16:23 503.296 C:\WINDOWS\system32\mstscax.dll
2006-08-07 16:23 5.632 C:\WINDOWS\system32\write.exe
2006-08-07 16:23 5.120 C:\WINDOWS\system32\dcomcnfg.exe
2006-08-07 16:23 499.200 C:\WINDOWS\system32\hypertrm.dll
2006-08-07 16:23 495.616 C:\WINDOWS\system32\comuid.dll
2006-08-07 16:23 468.480 C:\WINDOWS\system32\clbcatq.dll
2006-08-07 16:23 44.544 C:\WINDOWS\system32\hticons.dll
2006-08-07 16:23 41.984 C:\WINDOWS\system32\rdpclip.exe
2006-08-07 16:23 40.448 C:\WINDOWS\system32\tscupgrd.exe
2006-08-07 16:23 4.608 C:\WINDOWS\system32\rdpcfgex.dll
2006-08-07 16:23 4.096 C:\WINDOWS\system32\wuauserv.dll
2006-08-07 16:23 4.096 C:\WINDOWS\system32\mtxex.dll
2006-08-07 16:23 391.168 C:\WINDOWS\system32\mstsc.exe
2006-08-07 16:23 360.960 C:\WINDOWS\system32\msdtcprx.dll
2006-08-07 16:23 35.840 C:\WINDOWS\system32\winchat.exe
2006-08-07 16:23 343.552 C:\WINDOWS\system32\mspaint.exe
2006-08-07 16:23 33.792 C:\WINDOWS\system32\regini.exe
2006-08-07 16:23 33.280 C:\WINDOWS\system32\cfgbkend.dll
2006-08-07 16:23 25.600 C:\WINDOWS\system32\comaddin.dll
2006-08-07 16:23 25.088 C:\WINDOWS\system32\mtxlegih.dll
2006-08-07 16:23 232.960 C:\WINDOWS\system32\avtapi.dll
2006-08-07 16:23 22.528 C:\WINDOWS\system32\qwinsta.exe
2006-08-07 16:23 22.528 C:\WINDOWS\system32\msg.exe
2006-08-07 16:23 215.040 C:\WINDOWS\system32\catsrv.dll
2006-08-07 16:23 20.480 C:\WINDOWS\system32\mtxdm.dll
2006-08-07 16:23 199.680 C:\WINDOWS\system32\termsrv.dll
2006-08-07 16:23 183.808 C:\WINDOWS\system32\accwiz.exe
2006-08-07 16:23 18.944 C:\WINDOWS\system32\qprocess.exe
2006-08-07 16:23 17.920 C:\WINDOWS\system32\tsshutdn.exe
2006-08-07 16:23 17.408 C:\WINDOWS\system32\qappsrv.exe
2006-08-07 16:23 16.384 C:\WINDOWS\system32\tskill.exe
2006-08-07 16:23 16.384 C:\WINDOWS\system32\rwinsta.exe
2006-08-07 16:23 16.384 C:\WINDOWS\system32\avmeter.dll
2006-08-07 16:23 151.040 C:\WINDOWS\system32\msdtcuiu.dll
2006-08-07 16:23 15.872 C:\WINDOWS\system32\logoff.exe
2006-08-07 16:23 15.872 C:\WINDOWS\system32\cdmodem.dll
2006-08-07 16:23 15.360 C:\WINDOWS\system32\tsdiscon.exe
2006-08-07 16:23 15.360 C:\WINDOWS\system32\tscon.exe
2006-08-07 16:23 15.360 C:\WINDOWS\system32\shadow.exe
2006-08-07 16:23 147.456 C:\WINDOWS\system32\comsnap.dll
2006-08-07 16:23 14.848 C:\WINDOWS\system32\rdpsnd.dll
2006-08-07 16:23 139.776 C:\WINDOWS\system32\sndvol32.exe
2006-08-07 16:23 134.656 C:\WINDOWS\system32\rdchost.dll
2006-08-07 16:23 132.096 C:\WINDOWS\system32\sessmgr.exe
2006-08-07 16:23 128.000 C:\WINDOWS\system32\mshearts.exe
2006-08-07 16:23 125.952 C:\WINDOWS\system32\sndrec32.exe
2006-08-07 16:23 124.696 C:\WINDOWS\system32\wuauclt.exe
2006-08-07 16:23 120.320 C:\WINDOWS\system32\winmine.exe
2006-08-07 16:23 12.288 C:\WINDOWS\system32\rdsaddin.exe
2006-08-07 16:23 118.272 C:\WINDOWS\system32\mplay32.exe
2006-08-07 16:23 114.688 C:\WINDOWS\system32\calc.exe
2006-08-07 16:23 100.864 C:\WINDOWS\system32\clbcatex.dll
2006-08-07 16:23 100.352 C:\WINDOWS\system32\clipbrd.exe
2006-08-07 16:23 10.240 C:\WINDOWS\system32\reset.exe
2006-08-07 16:23 1.343.768 C:\WINDOWS\system32\wuaueng.dll
2006-08-07 16:23 1.237 C:\WINDOWS\system32\usrlogon.cmd
2006-08-07 16:23 1.139.200 C:\WINDOWS\system32\comsvcs.dll
2006-08-07 16:22 57.344 C:\WINDOWS\system32\licwmi.dll
2006-08-07 16:22 53.248 C:\WINDOWS\system32\servdeps.dll
2006-08-07 16:22 178.688 C:\WINDOWS\system32\cmprops.dll
2006-08-07 16:22 16.896 C:\WINDOWS\system32\mmfutil.dll
2006-08-04 17:37 73.728 C:\WINDOWS\system32\dpl100.dll
2006-08-04 17:37 196.608 C:\WINDOWS\system32\dtu100.dll
2006-07-27 04:05 3.596.288 C:\WINDOWS\system32\qt-dx331.dll
2006-07-03 23:40 778.240 C:\WINDOWS\system32\divx_xx0c.dll
2006-07-03 23:40 778.240 C:\WINDOWS\system32\divx_xx07.dll
2006-07-03 23:40 761.856 C:\WINDOWS\system32\divx_xx11.dll
2006-07-03 23:40 620.180 C:\WINDOWS\system32\DivX.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SSC_UserPrompt"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="C:\\Programme\\iTunes\\iTunesHelper.exe"
"NeroCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"AdaptecDirectCD"="\"C:\\Programme\\Adaptec\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\""
"Ulead AutoDetector v2"="C:\\Programme\\Gemeinsame Dateien\\Ulead Systems\\AutoDetector\\monitor.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ishost.exe"="ishost.exe"
"kernel32.dll"="C:\\WINDOWS\\System32\\isnotify.exe"
"issearch.exe"="issearch.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{841F863B-069C-1031-0125-02020514002b}"="\"C:\\Programme\\Gemeinsame Dateien\\{841F863B-069C-1031-0125-02020514002b}\\Update.exe\" mc-110-12-0000272"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""




Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Run Full System Scan - Rachelle.job

Completion time: 09.08.2006 16:36:15,93
ComboFix ver 06.07.15/29 - This logfile is located at C:\ComboFix.txt

#27 samonte

Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

------------------------------------------------------------------------------------

0.
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - incestuously

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} --> loeschen

1.
Vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html

2.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\ClickSpring
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Safety Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcywuu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winusi32

Files to delete:

C:\WINDOWS\Downloaded Program Files\YazzleActiveX.inf
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\system32\dghjl.ini2
C:\WINDOWS\system32\dghjl.bak2
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\dghjl.ini
C:\WINDOWS\system32\dghjl.tmp
C:\WINDOWS\system32\dghjl.bak1
C:\WINDOWS\system32\ljhgd.dll
C:\WINDOWS\system32\wtstr.exe
C:\WINDOWS\system32\urroxtl.dll
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\efcywuu.dll
C:\WINDOWS\system32\winusi32.dll
C:\Programme\Safety Bar\Safety Bar.dll
C:\Programme\Safety Bar\Uninstall.bat
C:\Dokumente und Einstellungen\Rachelle\Lokale Einstellungen\Temp\win30.tmp.exe
C:\Programme\Gemeinsame Dateien\{841F863B-069C-1031-0125-02020514002b}\Update.exe
C:\Dokumente und Einstellungen\Rachelle\Lokale Einstellungen\Anwendungsdaten\3a056365.exe
C:\WINDOWS\System32\3a056365.exe
C:\WINDOWS\System32\urroxtl.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
loesche:
C:\Programme\Gemeinsame Dateien\{841F863B-069C-1031-0125-02020514002b}
C:\Programme\Safety Bar

das ist der purityscan , hier erscheint ein Fragezeichen , aber in Wirklichkeit sind es kryptische Zeichen, suche nach Datum und loesche:

2006-08-08 19:03:38 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\s?stem32

2006-08-08 19:06:06 ( .D... ) "C:\Dokumente und Einstellungen\Rachelle\Anwendungsdaten\?racle

Beispiel:



**
wende smitfraudfix nach Anleitung an
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
öffne das HijackThis -- Button "scan" -- vor die Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKLM\..\Run: [3a056365.exe] C:\WINDOWS\System32\3a056365.exe

O4 - HKCU\..\Run: [3a056365.exe] C:\Dokumente und Einstellungen\Rachelle\Lokale Einstellungen\Anwendungsdaten\3a056365.exe

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/e7a45e36ff37b237ed74d1195ead65d4_35.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123

O20 - AppInit_DLLs:
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\System32\urroxtl.dll

**
scanne mit ewido und poste den report
http://virus-protect.org/ewido.html

**
poste noch mal die 4 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit