Spyware Quake entfernen

#1 Hallo,

ich habe seit einiger Zeit Probleme mit SpywareQuake und schon einige Dateien gelöscht, aber anscheinend noch nicht alles erwischt. Hier die Log-Dateien:

Logfile of HijackThis v1.99.1
Scan saved at 22:14:47, on 17.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programme\LRZ VPN Client\cvpnd.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
E:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\Sophos\AutoUpdate\ALMon.exe
E:\Programme\Winamp\winamp.exe
E:\Programme\Soulseek\slsk.exe
c:\Programme\LRZ VPN Client\vpngui.exe
E:\Programme\Firefox\firefox.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.418\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Nothing - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [9ef8aadb.exe] C:\WINDOWS\system32\9ef8aadb.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [9ef8aadb.exe] C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\9ef8aadb.exe
O4 - Startup: VPN Client.lnk = C:\Programme\LRZ VPN Client\ipsecdialer.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = E:\Programme\Sophos\AutoUpdate\ALMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B67D1FF-2E5C-4575-8A3D-C51F261916D5}: NameServer = 10.156.33.53,129.187.10.25
O20 - Winlogon Notify: winbfu32 - C:\WINDOWS\SYSTEM32\winbfu32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - c:\Programme\LRZ VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - E:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - E:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - E:\Programme\Sophos\AutoUpdate\ALsvc.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\WINDOWS\system32

17.07.2006 22:44 0 NvApps.xml
17.07.2006 18:55 2.206 wpa.dbl
16.07.2006 15:37 24.064 ixt0.dll
12.07.2006 18:45 176.167 rmoc3260.dll
12.07.2006 18:45 5.632 pndx5032.dll
12.07.2006 18:45 6.656 pndx5016.dll
12.07.2006 18:45 278.528 pncrt.dll
12.07.2006 18:32 392.296 perfh009.dat
12.07.2006 18:32 58.596 perfc009.dat
12.07.2006 18:32 405.118 perfh007.dat
12.07.2006 18:32 70.580 perfc007.dat
12.07.2006 18:32 938.224 PerfStringBackup.INI
07.07.2006 16:16 8.192 simpole.tlb
07.07.2006 03:21 6.757.792 MRT.exe
26.06.2006 23:21 106.496 TwnLib20.dll
26.06.2006 23:21 35.328 picn20.dll
26.06.2006 23:21 275.312 ImagXpr5.dll
26.06.2006 23:21 532.480 imagx5.dll
26.06.2006 23:21 507.904 imagr5.dll
26.06.2006 22:58 4.980 stdole3.tlb
26.06.2006 22:16 57.356 ld100.tmp
26.06.2006 17:50 18.432 winbfu32.dll
22.06.2006 12:47 181.248 rasmans.dll
16.06.2006 18:09 7.006 jupdate-1.5.0_06-b05.log
16.06.2006 15:24 15.872 sophosboottasks.exe
14.06.2006 18:53 8 success
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
20.05.2006 19:54 90.296 FNTCACHE.DAT
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
16.05.2006 22:45 0 h323log.txt
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 57.344 pxcpya64.exe
16.05.2006 22:23 56.832 pxinsa64.exe
16.05.2006 22:23 450.560 pxdrv.dll
16.05.2006 22:23 1.257.472 pxsfs.dll
16.05.2006 22:23 430.080 px.dll
16.05.2006 22:23 176.128 pxmas.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 21:57 261 $winnt$.inf
16.05.2006 21:53 2.951 CONFIG.NT
16.05.2006 21:53 16.832 amcompat.tlb
16.05.2006 21:53 23.392 nscompat.tlb
16.05.2006 21:51 488 WindowsLogon.manifest
16.05.2006 21:51 488 logonui.exe.manifest
16.05.2006 21:51 749 cdplayer.exe.manifest
16.05.2006 21:51 749 wuaucpl.cpl.manifest

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\WINDOWS

17.07.2006 22:45 1.801.765 WindowsUpdate.log
17.07.2006 22:44 341.027 setupapi.log
17.07.2006 22:43 0 0.log
17.07.2006 22:42 2.048 bootstat.dat
17.07.2006 22:41 32.202 SchedLgU.Txt
16.07.2006 18:19 23 BlendSettings.ini
16.07.2006 15:46 209.410 ntbtlog.txt
12.07.2006 18:49 6.613 mozver.dat
12.07.2006 08:26 127.182 comsetup.log
12.07.2006 08:26 410.027 iis6.log
12.07.2006 08:26 75.535 ntdtcsetup.log
12.07.2006 08:26 19.391 ocmsn.log
12.07.2006 08:26 164.252 tsoc.log
12.07.2006 08:26 1.374 imsins.log
12.07.2006 08:26 18.007 tabletoc.log
12.07.2006 08:26 11.787 KB917159.log
12.07.2006 08:26 17.727 msgsocm.log
12.07.2006 08:26 175.056 ocgen.log
12.07.2006 08:26 24.731 MedCtrOC.log
12.07.2006 08:26 61.781 netfxocm.log
12.07.2006 08:26 346.013 FaxSetup.log
12.07.2006 08:26 112.588 msmqinst.log
12.07.2006 08:25 1.374 imsins.BAK
12.07.2006 08:25 12.299 KB914388.log
12.07.2006 08:25 17.909 updspapi.log
12.07.2006 08:25 10.364 KB916595.log
10.07.2006 13:49 69 NeroDigital.ini
28.06.2006 20:37 10.991 KB911280.log
26.06.2006 17:28 10 WININIT.INI
18.06.2006 03:22 1.829 spupdsvc.log
17.06.2006 18:56 8.247 KB917734.log
17.06.2006 18:56 16.498 wmsetup.log
17.06.2006 18:56 13.550 KB918439.log
17.06.2006 18:56 13.912 KB917344.log
17.06.2006 18:56 13.684 KB917953.log
17.06.2006 18:56 17.497 KB916281.log
17.06.2006 18:55 11.448 KB914389.log
31.05.2006 18:06 0 msicpl.ini
21.05.2006 18:23 50 wiaservc.log
21.05.2006 18:23 216 wiadebug.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\

17.07.2006 22:50 0 sys.txt
17.07.2006 22:49 7.648 system.txt
17.07.2006 22:49 134 systemtemp.txt
17.07.2006 22:48 96.707 system32.txt
17.07.2006 22:46 240 datFind.zip
17.07.2006 22:44 53 biosinfo
17.07.2006 22:42 1.073.270.784 hiberfil.sys
17.07.2006 22:42 1.006.632.960 pagefile.sys
27.06.2006 19:47 80 FilterLog.log
16.05.2006 21:53 0 CONFIG.SYS
16.05.2006 21:53 0 MSDOS.SYS
16.05.2006 21:53 0 IO.SYS
16.05.2006 21:53 0 AUTOEXEC.BAT
16.05.2006 21:45 211 boot.ini
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 47.564 NTDETECT.COM
31.12.2002 14:00 251.184 ntldr
17 Datei(en) 2.080.312.517 Bytes
0 Verzeichnis(se), 5.962.629.120 Bytes frei

Ich hoffe es ist vollständig.

#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Ok.
Eine Frage noch: Soll ich die rot markierten Dateien eigentlich löschen?
Vielen Dank übrigens für die Hilfe!

Daniel

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\WINDOWS\system32\components

16.07.2006 15:40 <DIR> .
16.07.2006 15:40 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 5.988.229.120 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\WINDOWS\Downloaded Program Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp

18.07.2006 08:17 <DIR> .
18.07.2006 08:17 <DIR> ..
18.07.2006 08:07 0 exi16.tmp
18.07.2006 08:00 618 jusched.log
2 Datei(en) 618 Bytes
2 Verzeichnis(se), 5.988.225.024 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\WINDOWS\Temp

18.07.2006 17:23 <DIR> .
18.07.2006 17:23 <DIR> ..
18.07.2006 17:18 63.056 Sophos Anti-Virus CustomActions Log.txt
18.07.2006 17:18 697.928 Sophos Anti-Virus install log.txt
18.07.2006 17:15 <DIR> sophos_autoupdate1.dir
17.07.2006 22:44 0 win1.tmp
18.07.2006 17:15 0 win10.tmp
18.07.2006 07:52 903 win11.tmp
18.07.2006 07:52 0 win12.tmp
18.07.2006 07:54 0 win13.tmp
18.07.2006 07:56 0 win14.tmp
18.07.2006 07:58 0 win15.tmp
18.07.2006 17:15 0 win16.tmp
18.07.2006 17:15 0 win17.tmp
18.07.2006 17:15 0 win18.tmp
18.07.2006 17:17 0 win19.tmp
18.07.2006 17:17 0 win1A.tmp
18.07.2006 17:17 0 win1B.tmp
18.07.2006 08:18 0 win1C.tmp
18.07.2006 17:17 0 win1D.tmp
17.07.2006 23:14 0 win2.tmp
17.07.2006 22:46 0 win3.tmp
18.07.2006 08:38 0 win33.tmp
18.07.2006 08:58 0 win34.tmp
18.07.2006 09:18 0 win35.tmp
17.07.2006 22:48 0 win4.tmp
18.07.2006 17:19 0 win42.tmp
18.07.2006 17:19 0 win43.tmp
18.07.2006 17:19 0 win44.tmp
18.07.2006 17:19 0 win45.tmp
18.07.2006 17:21 903 win46.tmp
18.07.2006 17:21 0 win47.tmp
18.07.2006 17:23 0 win48.tmp
17.07.2006 22:50 0 win5.tmp
17.07.2006 22:52 0 win6.tmp
17.07.2006 23:00 903 win7.tmp
17.07.2006 23:16 0 win8.tmp
17.07.2006 23:18 0 win9.tmp
17.07.2006 23:20 0 winA.tmp
17.07.2006 23:22 0 winB.tmp
18.07.2006 07:50 0 winC.tmp
18.07.2006 07:50 0 winD.tmp
18.07.2006 07:50 0 winE.tmp
18.07.2006 07:50 0 winF.tmp
41 Datei(en) 763.693 Bytes
3 Verzeichnis(se), 5.988.225.024 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\Programme

17.07.2006 22:21 <DIR> .
17.07.2006 22:21 <DIR> ..
23.05.2006 21:35 <DIR> Adobe
26.06.2006 17:28 <DIR> ATI Technologies
17.07.2006 22:21 <DIR> CleanUp!
12.07.2006 18:46 <DIR> Gemeinsame Dateien
17.07.2006 19:05 <DIR> Google
17.06.2006 18:56 <DIR> Internet Explorer
23.05.2006 22:00 <DIR> IrfanView
16.06.2006 18:09 <DIR> Java
18.07.2006 17:16 <DIR> LRZ VPN Client
20.05.2006 19:51 <DIR> Messenger
16.05.2006 21:54 <DIR> microsoft frontpage
16.05.2006 21:50 <DIR> Movie Maker
16.05.2006 21:48 <DIR> MSN
16.05.2006 21:48 <DIR> MSN Gaming Zone
18.05.2006 17:30 <DIR> My Company Name
16.05.2006 21:50 <DIR> NetMeeting
16.05.2006 21:49 <DIR> Online Services
16.05.2006 21:51 <DIR> Online-Dienste
20.05.2006 19:45 <DIR> Outlook Express
12.07.2006 18:45 <DIR> Real
16.06.2006 17:51 <DIR> uTorrent
18.05.2006 18:00 <DIR> VIA Technologies, Inc
19.05.2006 20:29 <DIR> Winamp
20.05.2006 19:47 <DIR> Windows Media Player
16.05.2006 21:48 <DIR> Windows NT
25.06.2006 13:37 <DIR> WinRAR
16.05.2006 21:54 <DIR> xerox
0 Datei(en) 0 Bytes
29 Verzeichnis(se), 5.988.220.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten

23.05.2006 21:57 <DIR> Adobe
23.05.2006 21:35 869 AdobeDLM.log
29.05.2006 20:03 <DIR> AdobeUM
21.05.2006 12:39 <DIR> Ahead
31.05.2006 18:10 <DIR> ATI
23.05.2006 21:35 0 dm.ini
17.07.2006 19:05 <DIR> Google
16.05.2006 22:00 <DIR> Identities
20.05.2006 19:22 <DIR> Macromedia
17.05.2006 23:33 <DIR> Mozilla
12.07.2006 18:50 <DIR> Real
16.06.2006 18:12 <DIR> Sun
17.05.2006 23:33 <DIR> Thunderbird
25.06.2006 13:40 <DIR> uTorrent
2 Datei(en) 869 Bytes
12 Verzeichnis(se), 5.988.220.928 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8071-6F67

Verzeichnis von C:\Programme\Gemeinsame Dateien

12.07.2006 18:46 <DIR> .
12.07.2006 18:46 <DIR> ..
23.05.2006 21:52 <DIR> Adobe
27.06.2006 19:44 <DIR> Ahead
16.06.2006 15:27 <DIR> Cisco Systems
14.06.2006 18:52 <DIR> Deterministic Networks
16.05.2006 21:50 <DIR> Dienste
31.05.2006 18:02 <DIR> InstallShield
16.06.2006 18:07 <DIR> Java
16.05.2006 22:01 <DIR> Microsoft Shared
16.05.2006 21:50 <DIR> MSSoap
16.05.2006 22:39 <DIR> ODBC
12.07.2006 18:46 <DIR> Real
16.05.2006 22:39 <DIR> SpeechEngines
20.05.2006 19:45 <DIR> System
12.07.2006 18:46 <DIR> xing shared
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 5.988.220.928 Bytes frei

#4 Habster

1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\9ef8aadb.exe
C:\WINDOWS\system32\pmnqguh.dll
C:\WINDOWS\system32\9ef8aadb.exe
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\winbfu32.dll
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\Temp\win1.tmp
C:\WINDOWS\Temp\win10.tmp
C:\WINDOWS\Temp\win11.tmp
C:\WINDOWS\Temp\win12.tmp
C:\WINDOWS\Temp\win13.tmp
C:\WINDOWS\Temp\win14.tmp
C:\WINDOWS\Temp\win15.tmp
C:\WINDOWS\Temp\win16.tmp
C:\WINDOWS\Temp\win17.tmp
C:\WINDOWS\Temp\win18.tmp
C:\WINDOWS\Temp\win19.tmp
C:\WINDOWS\Temp\win1A.tmp
C:\WINDOWS\Temp\win1B.tmp
C:\WINDOWS\Temp\win1C.tmp
C:\WINDOWS\Temp\win1D.tmp
C:\WINDOWS\Temp\win2.tmp
C:\WINDOWS\Temp\win3.tmp
C:\WINDOWS\Temp\win33.tmp
C:\WINDOWS\Temp\win34.tmp
C:\WINDOWS\Temp\win35.tmp
C:\WINDOWS\Temp\win4.tmp
C:\WINDOWS\Temp\win42.tmp
C:\WINDOWS\Temp\win43.tmp
C:\WINDOWS\Temp\win44.tmp
C:\WINDOWS\Temp\win45.tmp
C:\WINDOWS\Temp\win46.tmp
C:\WINDOWS\Temp\win47.tmp
C:\WINDOWS\Temp\win48.tmp
C:\WINDOWS\Temp\win5.tmp
C:\WINDOWS\Temp\win6.tmp
C:\WINDOWS\Temp\win7.tmp
C:\WINDOWS\Temp\win8.tmp
C:\WINDOWS\Temp\win9.tmp
C:\WINDOWS\Temp\winA.tmp
C:\WINDOWS\Temp\winB.tmp
C:\WINDOWS\Temp\winC.tmp
C:\WINDOWS\Temp\winD.tmp
C:\WINDOWS\Temp\winE.tmp
C:\WINDOWS\Temp\winF.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
poste das log vom Avenger, was erscheint

4.
smitfraud.fix abarbeiten (poste die logs von option 1 und 2 und lasse auch die registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

5.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp (file missing)
O4 - HKLM\..\Run: [9ef8aadb.exe] C:\WINDOWS\system32\9ef8aadb.exe
O4 - HKLM\..\Run: [SpyQuake2.com] C:\Programme\SpyQuake2.com\Spy-Quake2.exe /h
O4 - HKCU\..\Run: [9ef8aadb.exe] C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\9ef8aadb.exe
O20 - Winlogon Notify: winbfu32 - C:\WINDOWS\SYSTEM32\winbfu32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll

PC neustarten

6.
loesche manuell:
C:\WINDOWS\system32\components

7.
scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

---------------------------------------------------------------------
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\TwnLib20.dll
C:\WINDOWS\system32\picn20.dll
C:\WINDOWS\system32\ImagXpr5.dll
C:\WINDOWS\system32\imagx5.dll
C:\WINDOWS\system32\imagr5.dll

poste hier die Reporte
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\imsbdgtc

*******************

Script file located at: \??\C:\rnodascv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\9ef8aadb.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\9ef8aadb.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\9ef8aadb.exe
Status: 0xc0000034

File C:\WINDOWS\system32\pmnqguh.dll deleted successfully.


File C:\WINDOWS\system32\9ef8aadb.exe not found!
Deletion of file C:\WINDOWS\system32\9ef8aadb.exe failed!

Could not process line:
C:\WINDOWS\system32\9ef8aadb.exe
Status: 0xc0000034

File C:\WINDOWS\system32\simpole.tlb deleted successfully.
File C:\WINDOWS\system32\TwnLib20.dll deleted successfully.
File C:\WINDOWS\system32\picn20.dll deleted successfully.
File C:\WINDOWS\system32\ImagXpr5.dll deleted successfully.
File C:\WINDOWS\system32\imagx5.dll deleted successfully.
File C:\WINDOWS\system32\imagr5.dll deleted successfully.
File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\winbfu32.dll deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\Temp\win1.tmp deleted successfully.
File C:\WINDOWS\Temp\win10.tmp deleted successfully.
File C:\WINDOWS\Temp\win11.tmp deleted successfully.
File C:\WINDOWS\Temp\win12.tmp deleted successfully.
File C:\WINDOWS\Temp\win13.tmp deleted successfully.
File C:\WINDOWS\Temp\win14.tmp deleted successfully.
File C:\WINDOWS\Temp\win15.tmp deleted successfully.
File C:\WINDOWS\Temp\win16.tmp deleted successfully.
File C:\WINDOWS\Temp\win17.tmp deleted successfully.
File C:\WINDOWS\Temp\win18.tmp deleted successfully.
File C:\WINDOWS\Temp\win19.tmp deleted successfully.
File C:\WINDOWS\Temp\win1A.tmp deleted successfully.
File C:\WINDOWS\Temp\win1B.tmp deleted successfully.
File C:\WINDOWS\Temp\win1C.tmp deleted successfully.
File C:\WINDOWS\Temp\win1D.tmp deleted successfully.
File C:\WINDOWS\Temp\win2.tmp deleted successfully.
File C:\WINDOWS\Temp\win3.tmp deleted successfully.
File C:\WINDOWS\Temp\win33.tmp deleted successfully.
File C:\WINDOWS\Temp\win34.tmp deleted successfully.
File C:\WINDOWS\Temp\win35.tmp deleted successfully.
File C:\WINDOWS\Temp\win4.tmp deleted successfully.
File C:\WINDOWS\Temp\win42.tmp deleted successfully.
File C:\WINDOWS\Temp\win43.tmp deleted successfully.
File C:\WINDOWS\Temp\win44.tmp deleted successfully.
File C:\WINDOWS\Temp\win45.tmp deleted successfully.
File C:\WINDOWS\Temp\win46.tmp deleted successfully.
File C:\WINDOWS\Temp\win47.tmp deleted successfully.
File C:\WINDOWS\Temp\win48.tmp deleted successfully.
File C:\WINDOWS\Temp\win5.tmp deleted successfully.
File C:\WINDOWS\Temp\win6.tmp deleted successfully.
File C:\WINDOWS\Temp\win7.tmp deleted successfully.
File C:\WINDOWS\Temp\win8.tmp deleted successfully.
File C:\WINDOWS\Temp\win9.tmp deleted successfully.
File C:\WINDOWS\Temp\winA.tmp deleted successfully.
File C:\WINDOWS\Temp\winB.tmp deleted successfully.
File C:\WINDOWS\Temp\winC.tmp deleted successfully.
File C:\WINDOWS\Temp\winD.tmp deleted successfully.
File C:\WINDOWS\Temp\winE.tmp deleted successfully.
File C:\WINDOWS\Temp\winF.tmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#6 arbeite nun alles weitere ab und poste die logs (lasse das backup vom Avenger unberuehrt, denn wir werden es noch brauchen)
ich hatte was veraendert...aber zu spaet)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 SmitFraudFix v2.74

Scan done at 9:53:55,05, 19.07.2006
Run from C:\Programme\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ld???.tmp Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


--------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 10:32:39 19.07.2006

+ Scan-Ergebnis:



C:\avenger\backup.zip/avenger/ixt0.dll -> Downloader.Zlob.zd : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\avenger\backup.zip/avenger/pmnqguh.dll -> Not-A-Virus.Hoax.Win32.Renos.dw : Ignoriert.
:mozilla.103:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.30:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.76:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.77:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.2o7 : Gesäubert.
E:\Philipp\Cookies\philipp@2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
E:\Philipp\Cookies\philipp@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.102:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.22:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.23:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
:mozilla.24:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Adbrite : Gesäubert.
E:\Philipp\Cookies\philipp@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Gesäubert.
:mozilla.27:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.28:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.42:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.43:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Adtech : Gesäubert.
E:\Philipp\Cookies\philipp@adtech[2].txt -> TrackingCookie.Adtech : Gesäubert.
:mozilla.6:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.7:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.8:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.9:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Advertising : Gesäubert.
:mozilla.51:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert.
:mozilla.56:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Atdmt : Gesäubert.
E:\Philipp\Cookies\philipp@atdmt[2].txt -> TrackingCookie.Atdmt : Gesäubert.
:mozilla.17:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Casalemedia : Gesäubert.
E:\Philipp\Cookies\philipp@cz3.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert.
E:\Philipp\Cookies\philipp@cz4.clickzs[2].txt -> TrackingCookie.Clickzs : Gesäubert.
:mozilla.36:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert.
E:\Philipp\Cookies\philipp@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Gesäubert.
:mozilla.19:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.21:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.22:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.23:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.24:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.27:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.28:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.84:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.85:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.86:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.87:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.88:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
:mozilla.89:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Falkag : Gesäubert.
E:\Philipp\Cookies\philipp@as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
E:\Philipp\Cookies\philipp@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert.
E:\Philipp\Cookies\philipp@as1.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
E:\Philipp\Cookies\philipp@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert.
E:\Philipp\Cookies\philipp@sel.as-eu.falkag[1].txt -> TrackingCookie.Falkag : Gesäubert.
E:\Philipp\Cookies\philipp@sel.as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert.
E:\Philipp\Cookies\philipp@ehg-foxmovies.hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert.
E:\Philipp\Cookies\philipp@ehg-playboy.hitbox[2].txt -> TrackingCookie.Hitbox : Gesäubert.
E:\Philipp\Cookies\philipp@hitbox[1].txt -> TrackingCookie.Hitbox : Gesäubert.
:mozilla.18:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.22:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
E:\Philipp\Cookies\philipp@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.37:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.38:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.39:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.40:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.82:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
:mozilla.83:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Komtrack : Gesäubert.
E:\Philipp\Cookies\philipp@komtrack[2].txt -> TrackingCookie.Komtrack : Gesäubert.
E:\Philipp\Cookies\philipp@komtrack[3].txt -> TrackingCookie.Komtrack : Gesäubert.
E:\Philipp\Cookies\philipp@image.masterstats[1].txt -> TrackingCookie.Masterstats : Gesäubert.
:mozilla.19:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Mediaplex : Gesäubert.
E:\Philipp\Cookies\philipp@mediaplex[1].txt -> TrackingCookie.Mediaplex : Gesäubert.
E:\Philipp\Cookies\philipp@perf.overture[1].txt -> TrackingCookie.Overture : Gesäubert.
:mozilla.50:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Paycounter : Gesäubert.
E:\Philipp\Cookies\philipp@paycounter[1].txt -> TrackingCookie.Paycounter : Gesäubert.
E:\Philipp\Cookies\philipp@bs.serving-sys[1].txt -> TrackingCookie.Serving-sys : Gesäubert.
E:\Philipp\Cookies\philipp@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert.
:mozilla.46:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert.
:mozilla.47:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert.
:mozilla.48:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert.
:mozilla.49:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Sexcounter : Gesäubert.
:mozilla.37:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Sexlist : Gesäubert.
:mozilla.93:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Sitestat : Gesäubert.
:mozilla.35:C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Mozilla\Firefox\Profiles\p6pqkaud.default\cookies.txt -> TrackingCookie.Statcounter : Gesäubert.
E:\Philipp\Cookies\philipp@statcounter[2].txt -> TrackingCookie.Statcounter : Gesäubert.
E:\Philipp\Cookies\philipp@statcounter[3].txt -> TrackingCookie.Statcounter : Gesäubert.
E:\Philipp\Cookies\philipp@php.sales.tfag[1].txt -> TrackingCookie.Tfag : Gesäubert.
:mozilla.25:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.30:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
:mozilla.31:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Tradedoubler : Gesäubert.
E:\Philipp\Cookies\philipp@smm.valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert.
E:\Philipp\Cookies\philipp@valueclick[1].txt -> TrackingCookie.Valueclick : Gesäubert.
:mozilla.33:E:\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\lrs2alot.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.52:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.53:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
:mozilla.94:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert.
:mozilla.95:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert.
:mozilla.96:C:\Dokumente und Einstellungen\Philipp\Anwendungsdaten\Mozilla\Firefox\Profiles\1b5y3dgw.default\cookies.txt -> TrackingCookie.Zedo : Gesäubert.
C:\avenger\backup.zip/avenger/winbfu32.dll -> Trojan.Agent.vg : Mit Backup gesäubert (unter Quarantäne gestellt).


::Berichtende

Die Dateien

C:\WINDOWS\system32\TwnLib20.dll
C:\WINDOWS\system32\picn20.dll
C:\WINDOWS\system32\ImagXpr5.dll
C:\WINDOWS\system32\imagx5.dll
C:\WINDOWS\system32\imagr5.dll

habe ich nicht gefunden und deshalb auch nicht scannen können.

#8 die dateien sind im backup vom avenger (ich habe sie zu spaet rausgeneommen...du warst zu schnell )

C:\WINDOWS\system32\TwnLib20.dll
C:\WINDOWS\system32\picn20.dll
C:\WINDOWS\system32\ImagXpr5.dll
C:\WINDOWS\system32\imagx5.dll
C:\WINDOWS\system32\imagr5.dll

gehe ins C:\avenger\backup.zip und erstelle sie neu...nur diese , alle anderen loesche.

ansonsten muesste wieder alles o.k. sein .
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi!
Ich habe auch das Problem mit SpywareQuake.
Das Progy müsste sich über nen Trojaner automatisch installiert haben,
nachdem ich auf ner Internetseite (öffnete sich automatisch) ein Popup
mehrmals geschlossen habe (abbrechen und rechts oben auf schließen geklickt),
und es daraufhin irgendeinen Müll auf meinem Rechner installiert hat.

Ich habe bereits versucht die zugehörigen Prozesse zu beenden, ohne Erfolg.
Zudem habe ich ein paar andere Prozesse entdeckt die ich noch nicht kenne,
vielleicht weitere Spyware etc.

Gruß Kai

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 13:28:54, on 19.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\PC-Zeit\trap.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAP\DAP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\{60FC0DC0-072D-1031-0819-030516030031}\Update.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\Programme\TClock\TClock.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
D:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [SpyBlocker] C:\Programme\SpyBlocker Software\spyblocker.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Programme\DAP\DAP.EXE" /STARTUP
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137151336765
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll (file missing)
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sysuh32.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#10 razor_89

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

11Fßä#·ºÄÖ`I

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

gleiches mit:

TClock
ipwins
__________
MfG Sabina

rund um die PC-Sicherheit

#11 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 19.07.2006 14:10:45 for strings:
; '11fßä#·ºÄÖ`i'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
"Service"=" 11Fßä#·ºÄÖ`I"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I\Enum]

; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 19.07.2006 14:16:42 for strings:
; 'tclock'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time\Config]
"LastClockRate"=dword:0002625a

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\W32Time\Config]
"LastClockRate"=dword:0002625a

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"LastClockRate"=dword:0002625a

[HKEY_USERS\S-1-5-21-583907252-1644491937-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run]
"TClock.exe"="C:\\Programme\\TClock\\tclock_install.exe"

[HKEY_USERS\S-1-5-21-583907252-1644491937-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\TClock\\TClock.exe"="TClock Light"

[HKEY_USERS\S-1-5-21-583907252-1644491937-682003330-1004\Software\TClock]

; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 19.07.2006 14:21:23 for strings:
; 'ipwins'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IpWins]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IpWins"="C:\\Programme\\ipwins\\ipwins.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IpWins]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IpWins]
"DisplayName"="IpWins"
"UninstallString"="C:\\Programme\\ipwins\\Uninst.exe"

[HKEY_USERS\S-1-5-21-583907252-1644491937-682003330-1004\Software\IpWins]

[HKEY_USERS\S-1-5-21-583907252-1644491937-682003330-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\ipwins\\ipwins.exe"="ipwins"

; End Of The Log...

#12 razor_89

stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten !!!!!!!!!!
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\WINDOWS\system32

19.07.2006 15:03 547.189 ilkkj.ini
19.07.2006 15:02 50.257 nvapps.xml
19.07.2006 15:02 36.864 ixt2.dll
19.07.2006 15:02 4.608 ismon.exe
19.07.2006 13:50 143 mcrh.tmp
19.07.2006 13:28 36.864 ixt1.dll
19.07.2006 13:13 36.864 ixt0.dll
19.07.2006 13:13 51.200 issearch.exe
19.07.2006 13:13 4.286 ot.ico
19.07.2006 13:13 4.286 ts.ico
19.07.2006 13:13 8.652 isnotify.exe
19.07.2006 13:11 30.736 ishost.exe
19.07.2006 10:16 546.491 ilkkj.bak2
18.07.2006 14:15 536.984 ilkkj.bak1
18.07.2006 14:15 573.492 jkkli.dll
18.07.2006 14:05 14.848 BASSMOD.dll
18.07.2006 14:04 12.598 wpa.dbl
18.07.2006 13:59 172.032 AniGIF.ocx
18.07.2006 13:59 479.298 wbocx.ocx
18.07.2006 13:59 50.688 wbhelp2.dll
18.07.2006 13:40 38.925 wvurspo.dll
18.07.2006 13:39 18.432 winetn32.dll
20.06.2006 23:38 43.520 CmdLineExt03.dll
06.05.2006 12:34 1.153.752 FNTCACHE.DAT
04.05.2006 06:26 5.818.784 MRT.exe

Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\DOKUME~1\razor\LOKALE~1\Temp



Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\WINDOWS

19.07.2006 15:02 0 0.log
19.07.2006 15:02 159 wiadebug.log
19.07.2006 15:02 50 wiaservc.log
19.07.2006 15:01 2.048 bootstat.dat
19.07.2006 15:00 1.330.067 WindowsUpdate.log
17.07.2006 17:41 1.750 wincmd.ini
13.07.2006 21:11 138.572 wmsetup.log
30.06.2006 09:44 65.536 IFinst27.exe
25.06.2006 21:08 603.497 setupapi.log
25.06.2006 12:56 23 BlendSettings.ini
24.06.2006 11:31 186.302 setupact.log
23.06.2006 22:54 3.823 Ascd_tmp.ini
23.06.2006 22:39 299 nsw.log
22.06.2006 19:34 901 win.ini
14.06.2006 20:24 32.626 SchedLgU.Txt
08.06.2006 23:13 46.061 DirectX.log
12.05.2006 12:18 82.722 iis6.log
12.05.2006 12:18 1.374 imsins.log
12.05.2006 12:18 108.184 ntdtcsetup.log
12.05.2006 12:18 3.420 ocmsn.log
12.05.2006 12:18 208.157 tsoc.log
12.05.2006 12:18 179.714 comsetup.log
12.05.2006 12:18 12.029 KB913580.log
12.05.2006 12:18 273.931 ocgen.log
12.05.2006 12:18 26.795 msgsocm.log
12.05.2006 12:18 529.544 FaxSetup.log
12.05.2006 12:18 20.538 updspapi.log


Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\

19.07.2006 15:04 0 sys.txt
19.07.2006 15:04 11.251 system.txt
19.07.2006 15:03 127 systemtemp.txt
19.07.2006 15:03 107.713 system32.txt
19.07.2006 15:01 805.306.368 pagefile.sys
03.06.2006 20:22 2.696 LGSInst.Log
13.04.2006 09:55 6 AVPCallback.log

#14 razor_89

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Programme\TClock" >>files.txt
dir "C:\Programme\ipwins" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#15 Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\WINDOWS\system32\components

19.07.2006 15:03 <DIR> .
19.07.2006 15:03 <DIR> ..
19.07.2006 13:13 65.179 flx5.dll
1 Datei(en) 65.179 Bytes
2 Verzeichnis(se), 3.662.987.264 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.06.2004 17:03 355.955 ICQVideoControl.dll
08.06.2004 12:26 268 ICQVideoControl.inf
04.06.2004 10:44 740 jinstall-1_4_2_05.inf
29.05.2003 16:00 160.864 messengerstatsclient.dll
20.05.2004 14:36 237.568 MISBH.dll
09.05.2004 11:03 194 MISBH.INF
29.05.2003 16:00 77.408 msgrchkr.dll
29.05.2002 23:12 9.488 sporder.dll
29.05.2002 23:12 9.488 sporder_.dll
27.08.2005 13:30 5.065 swflash.inf
26.05.2005 05:19 291 wuweb.inf
11 Datei(en) 857.329 Bytes
0 Verzeichnis(se), 3.662.983.168 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Programme\Common Files

20.10.2004 00:09 <DIR> .
20.10.2004 00:09 <DIR> ..
20.10.2004 00:09 <DIR> System
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 3.662.983.168 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Programme\TClock

19.07.2006 13:13 <DIR> .
19.07.2006 13:13 <DIR> ..
01.06.2005 01:39 48.128 tcdll.tclock
05.06.2006 17:40 172.032 tclock.exe
19.07.2006 13:13 170 tclock.ini
10.07.2006 11:45 140.133 tclock_install.exe
4 Datei(en) 360.463 Bytes
2 Verzeichnis(se), 3.662.983.168 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Programme\ipwins

19.07.2006 13:21 <DIR> .
19.07.2006 13:21 <DIR> ..
19.07.2006 15:11 3 count.dat
19.07.2006 13:21 48 data.dat
19.07.2006 13:21 12 date.dat
06.06.2006 16:22 159.744 ipwins.exe
19.07.2006 13:21 102 settings.dat
19.07.2006 13:21 12 settingsDate.dat
19.07.2006 13:21 34.717 Uninst.exe
7 Datei(en) 194.638 Bytes
2 Verzeichnis(se), 3.662.983.168 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Dokumente und Einstellungen\razor\Lokale Einstellungen\Temp

19.07.2006 15:02 <DIR> .
19.07.2006 15:02 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 3.662.983.168 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\WINDOWS\Temp

19.07.2006 15:19 <DIR> .
19.07.2006 15:19 <DIR> ..
19.07.2006 15:01 0 win1.tmp
19.07.2006 15:17 0 win10.tmp
19.07.2006 15:19 0 win11.tmp
19.07.2006 15:19 0 win12.tmp
19.07.2006 15:03 0 win5.tmp
19.07.2006 15:05 0 win6.tmp
19.07.2006 15:07 0 win7.tmp
19.07.2006 15:09 0 win8.tmp
19.07.2006 15:11 0 win9.tmp
19.07.2006 15:11 0 winA.tmp
19.07.2006 15:13 0 winB.tmp
19.07.2006 15:13 0 winC.tmp
19.07.2006 15:15 0 winD.tmp
19.07.2006 15:15 0 winE.tmp
19.07.2006 15:17 0 winF.tmp
15 Datei(en) 0 Bytes
2 Verzeichnis(se), 3.662.983.168 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Temp

27.09.2005 15:41 <DIR> .
27.09.2005 15:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 3.662.979.072 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Programme

19.07.2006 13:23 <DIR> .
19.07.2006 13:23 <DIR> ..
15.01.2006 14:40 <DIR> 3DO
24.12.2005 13:59 <DIR> Adobe
22.10.2005 10:28 <DIR> Adverts
02.11.2004 00:02 <DIR> Ahead
27.12.2004 02:15 <DIR> Alcachofa Soft
12.05.2006 11:39 <DIR> AntiVir PersonalEdition Classic
20.10.2004 12:16 <DIR> ArcSoft
25.06.2006 20:57 <DIR> Azureus
20.10.2004 12:14 <DIR> Canon
20.10.2004 00:09 <DIR> Common Files
18.10.2004 23:46 <DIR> ComPlus Applications
20.10.2004 11:57 <DIR> CyberLink
19.07.2006 10:15 <DIR> DAP
24.12.2005 13:40 <DIR> directx
25.06.2006 20:47 <DIR> ffdshow
14.04.2006 00:27 <DIR> FlashGet
19.07.2006 13:11 <DIR> Gemeinsame Dateien
16.05.2006 22:29 <DIR> ICQLite
19.07.2006 13:25 <DIR> InetGet2
18.04.2006 03:12 <DIR> Internet Explorer
20.10.2004 23:31 <DIR> iPod
19.07.2006 13:21 <DIR> ipwins
18.08.2005 21:18 <DIR> IrfanView
30.10.2005 13:38 <DIR> iTunes
13.01.2006 11:44 <DIR> Java
29.10.2004 12:31 <DIR> Lavasoft
14.04.2006 00:30 <DIR> LeechGet 2005
03.06.2006 20:22 <DIR> Logitech
18.10.2004 23:49 <DIR> microsoft frontpage
20.10.2004 13:51 <DIR> Microsoft Office
27.11.2005 19:33 <DIR> Microsoft Picture It! 9
20.10.2004 13:53 <DIR> Microsoft Visual Studio
27.11.2005 18:32 <DIR> Microsoft Works
27.11.2005 18:27 <DIR> Microsoft Works Suite 2004
06.02.2005 19:01 <DIR> Movie Maker
30.10.2005 13:42 <DIR> Mozilla Firefox
12.08.2005 19:34 <DIR> Mozilla Thunderbird
23.10.2005 14:58 <DIR> msn gaming zone
30.10.2005 13:42 <DIR> MSN Messenger
04.10.2005 22:26 <DIR> MUSICMATCH
06.02.2005 18:58 <DIR> NetMeeting
18.04.2006 03:11 <DIR> Outlook Express
01.07.2006 17:26 <DIR> PC-Zeit
13.01.2005 20:57 <DIR> Pinnacle
07.05.2005 18:46 <DIR> PowerZip 7.0
25.06.2006 20:50 <DIR> QuickTime
07.11.2004 23:38 <DIR> R4
12.01.2006 14:16 <DIR> Real
15.03.2006 19:39 <DIR> Save
20.10.2004 18:52 <DIR> Skype
12.01.2006 14:03 <DIR> Smart Projects
27.10.2004 17:30 <DIR> SmartFTP Setup Files
03.01.2006 17:27 <DIR> SpyBlocker Software
19.07.2006 13:23 <DIR> SpyQuake2.com
25.06.2006 20:51 <DIR> Super Internet TV
19.07.2006 13:13 <DIR> TClock
27.10.2004 17:37 <DIR> VideoLAN
07.05.2006 01:35 <DIR> Winamp
20.10.2004 00:02 <DIR> Windows Journal Viewer
04.05.2005 20:18 <DIR> Windows Media Connect
18.02.2006 01:55 <DIR> Windows Media Player
06.02.2005 18:58 <DIR> Windows NT
09.07.2005 01:15 <DIR> WinRAR
20.10.2004 18:54 <DIR> WinZip
18.10.2004 23:49 <DIR> xerox
0 Datei(en) 0 Bytes
67 Verzeichnis(se), 3.662.979.072 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Dokumente und Einstellungen\razor\Lokale Einstellungen\Anwendungsdaten

21.10.2004 10:21 <DIR> Adobe
20.10.2004 23:32 <DIR> Apple Computer
04.05.2005 20:19 <DIR> ApplicationHistory
29.09.2005 14:25 <DIR> BVRP Software
19.07.2006 13:49 17.920 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
28.12.2004 13:52 138 fusioncache.dat
22.11.2005 16:32 451.792 GDIPFONTCACHEV1.DAT
21.11.2004 20:27 <DIR> Gearbox Software
12.01.2006 23:28 <DIR> Google
17.02.2006 17:50 <DIR> Help
29.11.2005 16:18 <DIR> Microsoft
31.12.2004 18:42 <DIR> NFS Underground 2
08.03.2005 20:56 <DIR> Oberon Media
08.06.2006 23:00 <DIR> Oblivion
24.10.2005 00:46 <DIR> Sunbelt Software
06.04.2005 11:16 <DIR> WMTools Downloaded Files
3 Datei(en) 469.850 Bytes
13 Verzeichnis(se), 3.662.974.976 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Dokumente und Einstellungen\razor\Anwendungsdaten

16.10.2004 14:38 299.008 DESINSTALADOR_AVCINEEDSP.exe
21.10.2004 21:57 496 DESINSTALAR.NKR
29.11.2005 20:03 486.240 GDIPFONTCACHEV1.DAT
25.06.2006 21:10 <DIR> Real
22.06.2006 18:29 <DIR> uTorrent
3 Datei(en) 785.744 Bytes
2 Verzeichnis(se), 3.662.974.976 Bytes frei
Datentr„ger in Laufwerk C: ist proggys
Volumeseriennummer: 60FC-0DC0

Verzeichnis von C:\Programme\Gemeinsame Dateien

19.07.2006 13:11 <DIR> .
19.07.2006 13:11 <DIR> ..
25.06.2006 21:08 <DIR> Adobe
20.10.2004 13:53 <DIR> Designer
18.10.2004 23:47 <DIR> Dienste
20.10.2004 12:01 <DIR> DirectX
13.01.2005 20:59 <DIR> Fellowes
14.04.2005 17:45 <DIR> InstallShield
28.10.2004 02:28 <DIR> Java
03.06.2006 20:22 <DIR> Logitech
13.11.2005 16:52 <DIR> MAGIX Shared
27.11.2005 18:31 <DIR> Microsoft Shared
18.10.2004 23:47 <DIR> MSSoap
08.03.2005 20:56 <DIR> Oberon Media
19.10.2004 00:39 <DIR> ODBC
25.06.2006 21:10 <DIR> Real
19.10.2004 00:39 <DIR> SpeechEngines
07.02.2005 22:33 <DIR> SWF Studio
18.04.2006 03:11 <DIR> System
19.07.2006 13:11 <DIR> {60FC0DC0-072D-1031-0819-030516030031}
0 Datei(en) 0 Bytes
20 Verzeichnis(se), 3.662.974.976 Bytes frei