Norton Internet Security wird unterdrückt!

#16 whycan

poste noch einmal die 4 logs von datfindbat + das log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#17 ich bekomm gleich beim hochfahren noch folgende meldungen, wobei ein system32/cmd fenster aufscheint (es ist leer bis auf die meldungen selbst) und dann noch ein warnfenster:

8550.exe, dotdr.exe und firewall32.exe kann nicht gefunden werden.
bzw.
dotrm.dll hatte einen fehler beim laden.



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\WINDOWS\system32

09.08.2006 08:04 1.167 aaa00000.sys
09.08.2006 08:04 29.696 w00174f5.dll
09.08.2006 08:03 2.206 wpa.dbl
07.08.2006 16:49 540.672 hqghumea.dll
06.08.2006 15:03 32.768 WinDmy.dll
06.08.2006 15:03 303.104 WinNB57.dll
06.08.2006 14:16 61.952 aaa00000.dll
06.08.2006 14:16 268.373 stvut.bak2
06.08.2006 14:15 540.672 roller.dll
06.08.2006 14:15 540.672 libprm.dll
06.08.2006 14:15 0 TFTP1756
22.07.2006 18:57 311.604 perfh009.dat
22.07.2006 18:57 48.156 perfc007.dat
22.07.2006 18:57 316.594 perfh007.dat
22.07.2006 18:57 39.992 perfc009.dat
22.07.2006 18:57 723.744 PerfStringBackup.INI
22.07.2006 17:54 40.973 iiigg.dll
22.07.2006 17:54 40.973 nnlih.dll
21.07.2006 14:11 25.065 wmpscheme.xml
21.07.2006 13:47 90.296 FNTCACHE.DAT
21.07.2006 13:46 261 $winnt$.inf
21.07.2006 13:41 2.951 config.bak
21.07.2006 13:41 2.951 CONFIG.NT
21.07.2006 13:41 16.832 amcompat.tlb
21.07.2006 13:41 23.392 nscompat.tlb
21.07.2006 13:39 488 logonui.exe.manifest
21.07.2006 13:39 488 WindowsLogon.manifest
21.07.2006 13:39 749 wuaucpl.cpl.manifest
21.07.2006 13:39 749 sapi.cpl.manifest
21.07.2006 13:39 749 ncpa.cpl.manifest
21.07.2006 13:39 749 nwc.cpl.manifest
21.07.2006 13:39 749 cdplayer.exe.manifest
21.07.2006 13:36 21.740 emptyregdb.dat
21.07.2006 13:32 0 h323log.txt
08.06.2006 12:08 534.208 SymNeti.dll
08.06.2006 12:08 161.472 SymRedir.dll
17.05.2006 11:23 579.888 LegitCheckControl.DLL
16.05.2006 14:34 87.808 S32EVNT1.DLL
27.04.2006 17:49 288.417 SrchSTS.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\DOKUME~1\AI-CHE~1\LOKALE~1\Temp

06.08.2006 14:38 0 162430.dmp
06.08.2006 14:16 540.672 fwcqefhk.dll
06.08.2006 14:16 540.672 btgdgje.dll
06.08.2006 14:15 540.672 bdookpv.dll
06.08.2006 14:15 540.672 akrdya.dll
03.08.2006 16:03 124 7DC7CBC9.TMP
03.08.2006 16:03 107 443D6E2B.TMP
01.08.2006 20:55 116 C2AF4830.TMP
22.07.2006 17:54 40.973 tmp000247ce
22.07.2006 17:54 40.973 tmp00017fad
10 Datei(en) 2.244.981 Bytes
0 Verzeichnis(se), 12.937.207.808 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\WINDOWS

09.08.2006 08:05 237.096 setupapi.log
09.08.2006 08:05 79.648 em.ocx
09.08.2006 08:05 185 em06y.ini
09.08.2006 08:04 610 affbun.txt
09.08.2006 08:04 0 0.log
09.08.2006 08:03 0 keyboard1.dat
09.08.2006 08:03 2.048 bootstat.dat
07.08.2006 16:49 24.984 SchedLgU.Txt
07.08.2006 16:47 40 teller2.chk
07.08.2006 16:47 0 newname.dat
06.08.2006 15:03 376.832 876057.exe
06.08.2006 15:03 2 tempf.txt
06.08.2006 15:01 227 system.ini
06.08.2006 15:01 472 win.ini
06.08.2006 14:59 99.266 ntbtlog.txt
04.08.2006 14:53 101.656 shcut.exe
03.08.2006 13:10 3.262 2.ico
03.08.2006 13:10 3.262 3.ico
03.08.2006 13:09 3.262 1.ico
29.07.2006 18:30 146.475 setupact.log
29.07.2006 14:28 215 wiadebug.log
29.07.2006 14:28 50 wiaservc.log
21.07.2006 14:11 1.174 OEWABLog.txt
21.07.2006 14:05 1.626 tabletoc.log
21.07.2006 14:05 5.905 KB893803v2.log
21.07.2006 14:05 1.277 ocmsn.log
21.07.2006 14:05 21.310 comsetup.log
21.07.2006 14:05 18.590 ocgen.log
21.07.2006 14:05 17.719 FaxSetup.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\

09.08.2006 08:08 0 sys.txt
09.08.2006 08:08 4.350 system.txt
09.08.2006 08:07 738 systemtemp.txt
09.08.2006 08:05 86.800 system32.txt
09.08.2006 08:04 345 asdf.txt
09.08.2006 08:04 20.480 drsmartload849a8b5.exe
09.08.2006 08:04 20.480 drsmartload46a8b5.exe
09.08.2006 08:04 517.168 ucmoreiex.exe
09.08.2006 08:04 20.480 drsmartload45a8b5.exe
09.08.2006 08:04 65.536 drsmartload.exe
09.08.2006 08:04 2.560 ac3_0010.exe
09.08.2006 08:03 402.653.184 PAGEFILE.SYS
09.08.2006 08:03 267.964.416 hiberfil.sys
07.08.2006 16:47 94.208 kybrdff_8.exe
07.08.2006 16:47 77.824 dfndrff_8.exe
07.08.2006 16:47 32.768 nwnmff_8.exe
06.08.2006 15:03 20.480 drsmartload849a8b.exe
06.08.2006 15:03 20.480 drsmartload46a8b.exe
06.08.2006 15:03 20.480 drsmartload45a8b.exe
06.08.2006 15:03 21.638 MTE3NDI6ODoxNg.exe
06.08.2006 15:01 194 boot.ini
06.08.2006 14:57 11.826 avenger.txt
06.08.2006 14:17 32.768 nwnmfg_8.exe
06.08.2006 14:16 4.118 stub_113_4_0_4_0newer.exe
06.08.2006 14:16 77.824 dfndrfg_8.exe
06.08.2006 14:15 61.440 kybrdfg_8.exe
29.07.2006 18:30 17.223 ComboFix.txt
29.07.2006 14:44 904 rapport3a.txt
29.07.2006 14:44 904 rapport.txt
29.07.2006 14:37 1.094 rapport3.txt
29.07.2006 14:36 5.266 avenger2.txt
29.07.2006 14:19 1.457 VundoFix.txt
21.07.2006 19:57 904 rapport2.txt
11.05.2006 19:08 0 IO.SYS
11.05.2006 19:08 0 AUTOEXEC.BAT
11.05.2006 19:08 0 CONFIG.SYS
11.05.2006 19:08 0 MSDOS.SYS

Start Time= 09.08.2006 8:11:24,14
Running from: C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-09 08:04:30 20480 ( A.... ) "C:\drsmartload849a8b5.exe"
2006-08-09 08:04:28 ( .D... ) "C:\Programme\TheSearchAccelerator"
2006-08-09 08:04:26 20480 ( A.... ) "C:\drsmartload46a8b5.exe"
2006-08-09 08:04:24 1167 ( A.... ) "C:\WINDOWS\system32\aaa00000.sys"
2006-08-09 08:04:24 1167 ( A.... ) "C:\WINDOWS\system32\aaa00000.sys"
2006-08-09 08:04:20 517168 ( A.... ) "C:\ucmoreiex.exe"
2006-08-09 08:04:20 20480 ( A.... ) "C:\drsmartload45a8b5.exe"
2006-08-09 08:04:18 29696 ( A.... ) "C:\WINDOWS\system32\w00174f5.dll"
2006-08-09 08:04:14 65536 ( A.... ) "C:\drsmartload.exe"
2006-08-09 08:04:14 2560 ( A.... ) "C:\ac3_0010.exe"
2006-08-07 16:49:32 540672 ( A.... ) "C:\WINDOWS\system32\hqghumea.dll"
2006-08-07 16:47:44 94208 ( A.... ) "C:\kybrdff_8.exe"
2006-08-07 16:47:42 77824 ( A.... ) "C:\dfndrff_8.exe"
2006-08-07 16:47:38 32768 ( A.... ) "C:\nwnmff_8.exe"
2006-08-06 15:03:44 20480 ( A.... ) "C:\drsmartload849a8b.exe"
2006-08-06 15:03:42 20480 ( A.... ) "C:\drsmartload46a8b.exe"
2006-08-06 15:03:40 20480 ( A.... ) "C:\drsmartload45a8b.exe"
2006-08-06 15:03:36 303104 ( A.... ) "C:\WINDOWS\system32\WinNB57.dll"
2006-08-06 15:03:36 32768 ( A.... ) "C:\WINDOWS\system32\WinDmy.dll"
2006-08-06 15:03:34 376832 ( A.... ) "C:\WINDOWS\876057.exe"
2006-08-06 15:03:32 21638 ( A.... ) "C:\MTE3NDI6ODoxNg.exe"
2006-08-06 15:03:12 ( .D... ) "C:\Programme\ToolBar888"
2006-08-06 14:19:58 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-08-06 14:17:12 32768 ( A.... ) "C:\nwnmfg_8.exe"
2006-08-06 14:16:56 61952 ( A.... ) "C:\WINDOWS\system32\aaa00000.dll"
2006-08-06 14:16:44 4118 ( A.... ) "C:\stub_113_4_0_4_0newer.exe"
2006-08-06 14:16:00 77824 ( A.... ) "C:\dfndrfg_8.exe"
2006-08-06 14:15:54 540672 ( ..SH. ) "C:\WINDOWS\system32\roller.dll"
2006-08-06 14:15:54 540672 ( ..SH. ) "C:\WINDOWS\system32\libprm.dll"
2006-08-06 14:15:54 61440 ( A.... ) "C:\kybrdfg_8.exe"
2006-08-04 14:53:56 101656 ( A.... ) "C:\WINDOWS\shcut.exe"
2006-07-24 21:07:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-02110200002b}"
2006-07-22 19:22:44 ( .D... ) "C:\Programme\CleanUp!"
2006-07-22 17:54:46 40973 ( A.... ) "C:\WINDOWS\system32\nnlih.dll"
2006-07-22 17:54:46 40973 ( A.... ) "C:\WINDOWS\system32\iiigg.dll"
2006-07-21 14:17:28 ( .D... ) "C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Anwendungsdaten\Symantec"
2006-07-21 14:08:58 ( .D... ) "C:\Programme\Norton Internet Security"
2006-07-21 13:55:12 ( .D... ) "C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Anwendungsdaten\Identities"
2006-07-21 13:49:56 ( .DS.. ) "C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Anwendungsdaten\Microsoft"
2006-07-21 13:24:16 62 ( A.SH. ) "C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Anwendungsdaten\desktop.ini"
2006-06-08 12:08:36 534208 ( A.... ) "C:\WINDOWS\system32\SymNeti.dll"
2006-06-08 12:08:36 161472 ( A.... ) "C:\WINDOWS\system32\SymRedir.dll"
2006-05-16 14:34:38 87808 ( A.... ) "C:\WINDOWS\system32\S32EVNT1.DLL"
2006-05-11 19:08:54 0 ( A.... ) "C:\AUTOEXEC.BAT"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-09 08:05 40.973 C:\WINDOWS\system32\iiigg.dll
2006-08-09 08:04 517.168 C:\ucmoreiex.exe
2006-08-09 08:04 29.696 C:\WINDOWS\system32\w00174f5.dll
2006-08-09 08:04 20.480 C:\drsmartload849a8b5.exe
2006-08-09 08:04 20.480 C:\drsmartload46a8b5.exe
2006-08-09 08:04 20.480 C:\drsmartload45a8b5.exe
2006-08-09 08:04 2.560 C:\ac3_0010.exe
2006-08-07 16:47 94.208 C:\kybrdff_8.exe
2006-08-07 16:47 77.824 C:\dfndrff_8.exe
2006-08-07 16:47 32.768 C:\nwnmff_8.exe
2006-08-06 15:04 540.672 C:\WINDOWS\system32\hqghumea.dll
2006-08-06 15:03 65.536 C:\drsmartload.exe
2006-08-06 15:03 40.973 C:\WINDOWS\system32\nnlih.dll
2006-08-06 15:03 376.832 C:\WINDOWS\876057.exe
2006-08-06 15:03 32.768 C:\WINDOWS\system32\WinDmy.dll
2006-08-06 15:03 303.104 C:\WINDOWS\system32\WinNB57.dll
2006-08-06 15:03 21.638 C:\MTE3NDI6ODoxNg.exe
2006-08-06 15:03 20.480 C:\drsmartload849a8b.exe
2006-08-06 15:03 20.480 C:\drsmartload46a8b.exe
2006-08-06 15:03 20.480 C:\drsmartload45a8b.exe
2006-08-06 15:03 101.656 C:\WINDOWS\shcut.exe
2006-08-06 15:01 267.964.416 C:\hiberfil.sys
2006-08-06 14:17 32.768 C:\nwnmfg_8.exe
2006-08-06 14:16 61.952 C:\WINDOWS\system32\aaa00000.dll
2006-08-06 14:16 540.672 C:\WINDOWS\system32\roller.dll
2006-08-06 14:16 540.672 C:\WINDOWS\system32\libprm.dll
2006-08-06 14:16 4.118 C:\stub_113_4_0_4_0newer.exe
2006-08-06 14:16 1.167 C:\WINDOWS\system32\aaa00000.sys
2006-08-06 14:15 77.824 C:\dfndrfg_8.exe
2006-08-06 14:15 61.440 C:\kybrdfg_8.exe
2006-07-21 19:41 53.248 C:\WINDOWS\system32\Process.exe
2006-07-21 19:41 42.496 C:\WINDOWS\system32\swreg.exe
2006-07-21 19:41 40.960 C:\WINDOWS\system32\swsc.exe
2006-07-21 19:41 288.417 C:\WINDOWS\system32\SrchSTS.exe
2006-07-21 14:07 87.808 C:\WINDOWS\system32\S32EVNT1.DLL
2006-07-21 14:07 466.944 C:\WINDOWS\system32\capicom.dll
2006-07-21 13:41 112.128 C:\WINDOWS\system32\mapi32.dll
2006-07-21 13:38 40.960 C:\WINDOWS\system32\safrslv.dll
2006-07-21 13:38 39.424 C:\WINDOWS\system32\safrcdlg.dll
2006-07-21 13:38 33.792 C:\WINDOWS\system32\racpldlg.dll
2006-07-21 13:38 26.624 C:\WINDOWS\system32\safrdm.dll
2006-07-21 13:38 11.264 C:\WINDOWS\system32\atrace.dll
2006-07-21 13:37 9.728 C:\WINDOWS\system32\mstinit.exe
2006-07-21 13:37 81.920 C:\WINDOWS\system32\isign32.dll
2006-07-21 13:37 81.408 C:\WINDOWS\system32\msoert2.dll
2006-07-21 13:37 73.728 C:\WINDOWS\system32\ils.dll
2006-07-21 13:37 70.144 C:\WINDOWS\system32\acctres.dll
2006-07-21 13:37 69.632 C:\WINDOWS\system32\icwdial.dll
2006-07-21 13:37 65.536 C:\WINDOWS\system32\msconf.dll
2006-07-21 13:37 63.488 C:\WINDOWS\system32\srclient.dll
2006-07-21 13:37 61.440 C:\WINDOWS\system32\icwphbk.dll
2006-07-21 13:37 587.776 C:\WINDOWS\system32\inetcomm.dll
2006-07-21 13:37 51.200 C:\WINDOWS\system32\inetres.dll
2006-07-21 13:37 32.768 C:\WINDOWS\system32\mnmsrvc.exe
2006-07-21 13:37 32.256 C:\WINDOWS\system32\mnmdd.dll
2006-07-21 13:37 28.672 C:\WINDOWS\system32\isrdbg32.dll
2006-07-21 13:37 274.432 C:\WINDOWS\system32\inetcfg.dll
2006-07-21 13:37 255.488 C:\WINDOWS\system32\mstask.dll
2006-07-21 13:37 24.576 C:\WINDOWS\system32\nmmkcert.dll
2006-07-21 13:37 229.376 C:\WINDOWS\system32\srrstr.dll
2006-07-21 13:37 228.864 C:\WINDOWS\system32\msoeacct.dll
2006-07-21 13:37 223.232 C:\WINDOWS\system32\qmgr.dll
2006-07-21 13:37 17.408 C:\WINDOWS\system32\qmgrprxy.dll
2006-07-21 13:37 160.256 C:\WINDOWS\system32\schedsvc.dll
2006-07-21 13:37 16.384 C:\WINDOWS\system32\icfgnt5.dll
2006-07-21 13:37 159.232 C:\WINDOWS\system32\srsvc.dll
2006-07-21 13:37 12.288 C:\WINDOWS\system32\nmevtmsg.dll
2006-07-21 13:35 9.728 C:\WINDOWS\system32\xolehlp.dll
2006-07-21 13:35 9.216 C:\WINDOWS\system32\wuauserv.dll
2006-07-21 13:35 9.216 C:\WINDOWS\system32\icaapi.dll
2006-07-21 13:35 89.088 C:\WINDOWS\system32\tscfgwmi.dll
2006-07-21 13:35 869.376 C:\WINDOWS\system32\msdtctm.dll
2006-07-21 13:35 85.504 C:\WINDOWS\system32\catsrvps.dll
2006-07-21 13:35 83.968 C:\WINDOWS\system32\mtxoci.dll
2006-07-21 13:35 82.432 C:\WINDOWS\system32\comrepl.dll
2006-07-21 13:35 80.896 C:\WINDOWS\system32\charmap.exe
2006-07-21 13:35 75.912 C:\WINDOWS\system32\rdpwsx.dll
2006-07-21 13:35 73.216 C:\WINDOWS\system32\avwav.dll
2006-07-21 13:35 683.520 C:\WINDOWS\system32\getuname.dll
2006-07-21 13:35 61.952 C:\WINDOWS\system32\rdshost.exe
2006-07-21 13:35 6.144 C:\WINDOWS\system32\msdtc.exe
2006-07-21 13:35 598.016 C:\WINDOWS\system32\mstscax.dll
2006-07-21 13:35 582.656 C:\WINDOWS\system32\catsrvut.dll
2006-07-21 13:35 57.856 C:\WINDOWS\system32\licwmi.dll
2006-07-21 13:35 57.344 C:\WINDOWS\system32\sol.exe
2006-07-21 13:35 57.344 C:\WINDOWS\system32\remotepg.dll
2006-07-21 13:35 56.832 C:\WINDOWS\system32\colbact.dll
2006-07-21 13:35 55.808 C:\WINDOWS\system32\freecell.exe
2006-07-21 13:35 54.784 C:\WINDOWS\system32\msdtclog.dll
2006-07-21 13:35 54.272 C:\WINDOWS\system32\stclient.dll
2006-07-21 13:35 534.528 C:\WINDOWS\system32\spider.exe
2006-07-21 13:35 53.248 C:\WINDOWS\system32\servdeps.dll
2006-07-21 13:35 5.632 C:\WINDOWS\system32\write.exe
2006-07-21 13:35 5.120 C:\WINDOWS\system32\dcomcnfg.exe
2006-07-21 13:35 499.200 C:\WINDOWS\system32\hypertrm.dll
2006-07-21 13:35 495.616 C:\WINDOWS\system32\comuid.dll
2006-07-21 13:35 468.480 C:\WINDOWS\system32\clbcatq.dll
2006-07-21 13:35 44.544 C:\WINDOWS\system32\hticons.dll
2006-07-21 13:35 44.032 C:\WINDOWS\system32\rdpclip.exe
2006-07-21 13:35 40.960 C:\WINDOWS\system32\tscupgrd.exe
2006-07-21 13:35 4.608 C:\WINDOWS\system32\rdpcfgex.dll
2006-07-21 13:35 4.096 C:\WINDOWS\system32\mtxex.dll
2006-07-21 13:35 394.240 C:\WINDOWS\system32\mstsc.exe
2006-07-21 13:35 359.936 C:\WINDOWS\system32\msdtcprx.dll
2006-07-21 13:35 35.840 C:\WINDOWS\system32\winchat.exe
2006-07-21 13:35 343.552 C:\WINDOWS\system32\mspaint.exe
2006-07-21 13:35 33.792 C:\WINDOWS\system32\regini.exe
2006-07-21 13:35 33.280 C:\WINDOWS\system32\cfgbkend.dll
2006-07-21 13:35 25.600 C:\WINDOWS\system32\comaddin.dll
2006-07-21 13:35 25.088 C:\WINDOWS\system32\mtxlegih.dll
2006-07-21 13:35 232.960 C:\WINDOWS\system32\avtapi.dll
2006-07-21 13:35 22.528 C:\WINDOWS\system32\qwinsta.exe
2006-07-21 13:35 22.528 C:\WINDOWS\system32\msg.exe
2006-07-21 13:35 215.040 C:\WINDOWS\system32\catsrv.dll
2006-07-21 13:35 202.240 C:\WINDOWS\system32\termsrv.dll
2006-07-21 13:35 20.480 C:\WINDOWS\system32\mtxdm.dll
2006-07-21 13:35 190.464 C:\WINDOWS\system32\wuaueng.dll
2006-07-21 13:35 183.808 C:\WINDOWS\system32\accwiz.exe
2006-07-21 13:35 18.944 C:\WINDOWS\system32\qprocess.exe
2006-07-21 13:35 178.688 C:\WINDOWS\system32\cmprops.dll
2006-07-21 13:35 17.920 C:\WINDOWS\system32\tsshutdn.exe
2006-07-21 13:35 17.408 C:\WINDOWS\system32\qappsrv.exe
2006-07-21 13:35 16.896 C:\WINDOWS\system32\mmfutil.dll
2006-07-21 13:35 16.384 C:\WINDOWS\system32\tskill.exe
2006-07-21 13:35 16.384 C:\WINDOWS\system32\rwinsta.exe
2006-07-21 13:35 16.384 C:\WINDOWS\system32\avmeter.dll
2006-07-21 13:35 151.040 C:\WINDOWS\system32\msdtcuiu.dll
2006-07-21 13:35 15.872 C:\WINDOWS\system32\logoff.exe
2006-07-21 13:35 15.872 C:\WINDOWS\system32\cdmodem.dll
2006-07-21 13:35 15.360 C:\WINDOWS\system32\tsdiscon.exe
2006-07-21 13:35 15.360 C:\WINDOWS\system32\tscon.exe
2006-07-21 13:35 15.360 C:\WINDOWS\system32\shadow.exe
2006-07-21 13:35 147.456 C:\WINDOWS\system32\comsnap.dll
2006-07-21 13:35 141.824 C:\WINDOWS\system32\wuauclt.exe
2006-07-21 13:35 14.848 C:\WINDOWS\system32\rdpsnd.dll
2006-07-21 13:35 139.776 C:\WINDOWS\system32\sndvol32.exe
2006-07-21 13:35 135.680 C:\WINDOWS\system32\rdchost.dll
2006-07-21 13:35 131.072 C:\WINDOWS\system32\sessmgr.exe
2006-07-21 13:35 128.000 C:\WINDOWS\system32\mshearts.exe
2006-07-21 13:35 125.952 C:\WINDOWS\system32\sndrec32.exe
2006-07-21 13:35 120.320 C:\WINDOWS\system32\winmine.exe
2006-07-21 13:35 12.288 C:\WINDOWS\system32\rdsaddin.exe
2006-07-21 13:35 118.272 C:\WINDOWS\system32\mplay32.exe
2006-07-21 13:35 114.688 C:\WINDOWS\system32\calc.exe
2006-07-21 13:35 100.864 C:\WINDOWS\system32\clbcatex.dll
2006-07-21 13:35 100.352 C:\WINDOWS\system32\clipbrd.exe
2006-07-21 13:35 10.240 C:\WINDOWS\system32\reset.exe
2006-07-21 13:35 1.237 C:\WINDOWS\system32\usrlogon.cmd
2006-07-21 13:35 1.172.992 C:\WINDOWS\system32\comsvcs.dll
2006-07-21 13:28 20.480 C:\WINDOWS\system32\hidserv.dll
2006-07-21 13:27 4.096 C:\WINDOWS\system32\ksuser.dll
2006-07-21 13:26 70.144 C:\WINDOWS\system32\usbui.dll
2006-07-21 13:26 3.494.303 C:\WINDOWS\system32\nv4_disp.dll
2006-07-21 13:24 86.556 C:\WINDOWS\system32\dgsetup.dll
2006-07-21 13:24 8.192 C:\WINDOWS\system32\kbdhept.dll
2006-07-21 13:24 72.704 C:\WINDOWS\system32\storprop.dll
2006-07-21 13:24 7.168 C:\WINDOWS\system32\kbdcz.dll
2006-07-21 13:24 67.072 C:\WINDOWS\NOTEPAD.EXE
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdycl.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdsl1.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdsl.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdpl.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdhu.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdhela3.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdcz2.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdcz1.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\kbdcr.dll
2006-07-21 13:24 6.656 C:\WINDOWS\system32\KBDAL.DLL
2006-07-21 13:24 6.656 C:\WINDOWS\system32\batt.dll
2006-07-21 13:24 6.144 C:\WINDOWS\system32\kbdtuq.dll
2006-07-21 13:24 6.144 C:\WINDOWS\system32\kbdtuf.dll
2006-07-21 13:24 6.144 C:\WINDOWS\system32\kbdlv1.dll
2006-07-21 13:24 6.144 C:\WINDOWS\system32\kbdlv.dll
2006-07-21 13:24 6.144 C:\WINDOWS\system32\kbdhela2.dll
2006-07-21 13:24 6.144 C:\WINDOWS\system32\kbdgkl.dll
2006-07-21 13:24 6.144 C:\WINDOWS\system32\kbdest.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdycc.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbduzb.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdur.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdtat.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdru1.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdru.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdro.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdpl1.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdmon.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdlt1.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdlt.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdkyr.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdkaz.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdhu1.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdhe319.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdhe220.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdhe.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdbu.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdblr.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdazel.dll
2006-07-21 13:24 5.632 C:\WINDOWS\system32\kbdaze.dll
2006-07-21 13:24 24.661 C:\WINDOWS\system32\spxcoins.dll
2006-07-21 13:24 176.157 C:\WINDOWS\system32\dgrpsetu.dll
2006-07-21 13:24 15.872 C:\WINDOWS\TASKMAN.EXE
2006-07-21 13:24 13.824 C:\WINDOWS\system32\irclass.dll
2006-07-21 13:24 103.936 C:\WINDOWS\system32\EqnClass.Dll
2006-07-21 13:18 402.653.184 C:\PAGEFILE.SYS


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"defender"="C:\\\\dfndrff_8.exe"
"libprm"="rundll32.exe C:\\WINDOWS\\System32\\libprm.dll,start"
"roller"="rundll32.exe C:\\WINDOWS\\System32\\roller.dll,start"
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
"newname"="C:\\\\nwnmff_8.exe"
"keyboard"="C:\\\\kybrdff_8.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{90692DEB-04DC-1031-1029-02110200002b}"="\"C:\\Programme\\Gemeinsame Dateien\\{90692DEB-04DC-1031-1029-02110200002b}\\Update.exe\" mc-110-12-0000247"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
DisableRegistryTools REG_DWORD 0 (0x0)



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systempr�fung ausf�hren - Ai-Chen Liao-Saiti.job

Completion time: 09.08.2006 8:11:45,79
ComboFix ver 06.07.15/29 - This logfile is located at C:\ComboFix.txt

ComboFix.2006-08-09.081124.txt

#18 0.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32" >>files.txt
dir "C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files\SpySheriff" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

1.
loesche:
C:\Programme\TheSearchAccelerator
C:\Programme\ToolBar888

2.
gehe in die Registry

Start - Ausfuehren - regedit
bearbeiten - suchen - {90692DEB-04DC-1031-1029-02110200002b}

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{90692DEB-04DC-1031-1029-02110200002b}<--loeschen

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"defender"=-
"libprm"=-
"roller"=-
"newname"=-
"keyboard"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

4.
Avenger

Zitat

Files to delete:

C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\eltcelcius.exe
C:\Programme\TheSearchAccelerator\INSTALL.LOG
C:\Programme\TheSearchAccelerator\IUCmore.dll
C:\Programme\TheSearchAccelerator\TBlogin.users.ucmore.com.4.5.40.0
C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
C:\Programme\TheSearchAccelerator\UNWISE.EXE
C:\Programme\TheSearchAccelerator\logo.ico -> Adware.UCmore : Gesäubert.
C:\Programme\TheSearchAccelerator\toolbar.cfg
C:\WINDOWS\system32\ww32.exe
C:\Programme\Toolbar888\ToolBar888.dll
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe
C:\WINDOWS\system32\firewall32.exe
C:\WINDOWS\system32\aaa00000.sys
C:\WINDOWS\system32\w00174f5.dll
C:\WINDOWS\system32\hqghumea.dll
C:\WINDOWS\system32\WinDmy.dll
C:\WINDOWS\system32\WinNB57.dll
C:\WINDOWS\system32\aaa00000.dll
C:\WINDOWS\system32\stvut.bak2
C:\WINDOWS\system32\roller.dll
C:\WINDOWS\system32\libprm.dll
C:\WINDOWS\system32\TFTP1756
C:\WINDOWS\system32\iiigg.dll
C:\WINDOWS\system32\nnlih.dll
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\162430.dmp
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\fwcqefhk.dll
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\btgdgje.dll
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\bdookpv.dll
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\akrdya.dll
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\7DC7CBC9.TMP
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\443D6E2B.TMP
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Lokale Einstellungen\Temp\C2AF4830.TMP
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\bootstat.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\newname.dat
C:\WINDOWS\876057.exe
C:\WINDOWS\tempf.txt
C:\WINDOWS\shcut.exe
C:\WINDOWS\2.ico
C:\WINDOWS\3.ico
C:\WINDOWS\1.ico
C:\drsmartload849a8b5.exe
C:\drsmartload46a8b5.exe
C:\ucmoreiex.exe
C:\drsmartload45a8b5.exe
C:\drsmartload.exe
C:\ac3_0010.exe
C:\kybrdff_8.exe
C:\dfndrff_8.exe
C:\nwnmff_8.exe
C:\drsmartload849a8b.exe
C:\drsmartload46a8b.exe
C:\drsmartload45a8b.exe
C:\MTE3NDI6ODoxNg.exe
C:\nwnmfg_8.exe
C:\stub_113_4_0_4_0newer.exe
C:\dfndrfg_8.exe
C:\kybrdfg_8.exe

**

loesche:
C:\Programme\Gemeinsame Dateien\{90692DEB-04DC-1031-1029-02110200002b}

**
poste noch mal die 4 logs von datfindbat + combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\WINDOWS\system32

10.08.2006 19:52 308.576 xaccf.ini
10.08.2006 19:38 308.639 xaccf.bak2
10.08.2006 19:36 2.206 wpa.dbl
09.08.2006 08:14 268.815 xaccf.bak1
09.08.2006 08:14 573.492 fccax.dll
22.07.2006 18:57 48.156 perfc007.dat
22.07.2006 18:57 316.594 perfh007.dat
22.07.2006 18:57 311.604 perfh009.dat
22.07.2006 18:57 39.992 perfc009.dat
22.07.2006 18:57 723.744 PerfStringBackup.INI
22.07.2006 17:54 40.973 awvvw.dll
21.07.2006 14:11 25.065 wmpscheme.xml
21.07.2006 13:47 90.296 FNTCACHE.DAT
21.07.2006 13:46 261 $winnt$.inf
21.07.2006 13:41 2.951 CONFIG.NT
21.07.2006 13:41 2.951 config.bak
21.07.2006 13:41 23.392 nscompat.tlb
21.07.2006 13:41 16.832 amcompat.tlb
21.07.2006 13:39 488 logonui.exe.manifest
21.07.2006 13:39 488 WindowsLogon.manifest
21.07.2006 13:39 749 nwc.cpl.manifest
21.07.2006 13:39 749 wuaucpl.cpl.manifest
21.07.2006 13:39 749 ncpa.cpl.manifest
21.07.2006 13:39 749 sapi.cpl.manifest
21.07.2006 13:39 749 cdplayer.exe.manifest
21.07.2006 13:36 21.740 emptyregdb.dat
21.07.2006 13:32 0 h323log.txt
08.06.2006 12:08 534.208 SymNeti.dll
08.06.2006 12:08 161.472 SymRedir.dll
17.05.2006 11:23 579.888 LegitCheckControl.DLL
16.05.2006 14:34 87.808 S32EVNT1.DLL
27.04.2006 17:49 288.417 SrchSTS.exe


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\DOKUME~1\AI-CHE~1\LOKALE~1\Temp

22.07.2006 17:54 40.973 tmp0002009c
1 Datei(en) 40.973 Bytes
0 Verzeichnis(se), 12.916.973.568 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\WINDOWS

10.08.2006 19:51 0 0.log
10.08.2006 19:43 25.958 SchedLgU.Txt
09.08.2006 08:18 79.648 em.ocx
09.08.2006 08:18 185 em06y.ini
09.08.2006 08:18 610 affbun.txt
09.08.2006 08:15 2.560 _MSRSTRT.EXE
09.08.2006 08:11 146.535 setupact.log
09.08.2006 08:05 237.096 setupapi.log
06.08.2006 15:01 227 system.ini
06.08.2006 15:01 472 win.ini
06.08.2006 14:59 99.266 ntbtlog.txt
29.07.2006 14:28 215 wiadebug.log
29.07.2006 14:28 50 wiaservc.log
21.07.2006 14:11 1.174 OEWABLog.txt
21.07.2006 14:05 12.700 ntdtcsetup.log
21.07.2006 14:05 1.182 msgsocm.log
21.07.2006 14:05 1.626 tabletoc.log
21.07.2006 14:05 5.905 KB893803v2.log
21.07.2006 14:05 21.310 comsetup.log
21.07.2006 14:05 54.396 iis6.log
21.07.2006 14:05 1.374 imsins.log
21.07.2006 14:05 17.719 FaxSetup.log
21.07.2006 14:05 18.590 ocgen.log
21.07.2006 14:05 13.014 tsoc.log
21.07.2006 14:05 1.277 ocmsn.log
21.07.2006 14:05 3.560 netfxocm.log
21.07.2006 14:05 11.894 msmqinst.log
21.07.2006 13:49 683.916 setuplog.txt
21.07.2006 13:47 8.192 REGLOCS.OLD
21.07.2006 13:46 4.382 imsins.BAK
21.07.2006 13:41 0 control.ini
21.07.2006 13:41 299.552 WMSysPrx.prx
21.07.2006 13:41 4.161 ODBCINST.INI
21.07.2006 13:40 280 Windows Update.log
21.07.2006 13:39 749 WindowsShell.Manifest
21.07.2006 13:37 1.060 sessmgr.setup.log
21.07.2006 13:36 36 vb.ini
21.07.2006 13:36 37 vbaddin.ini
21.07.2006 13:36 128 DtcInstall.log
21.07.2006 13:30 2.774 regopt.log
21.07.2006 13:28 0 Sti_Trace.log
21.07.2006 13:23 0 setuperr.log


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\

10.08.2006 19:52 0 sys.txt
10.08.2006 19:52 3.930 system.txt
10.08.2006 19:52 295 systemtemp.txt
10.08.2006 19:52 86.456 system32.txt
10.08.2006 19:49 436.207.616 PAGEFILE.SYS
10.08.2006 19:49 267.964.416 hiberfil.sys
10.08.2006 19:44 16.422 avenger.txt
10.08.2006 19:38 20.480 drsmartload849a8b9.exe
10.08.2006 19:38 20.480 drsmartload46a8b9.exe
10.08.2006 19:37 20.480 drsmartload45a8b9.exe
09.08.2006 08:18 345 asdf.txt
09.08.2006 08:11 18.640 ComboFix.txt
06.08.2006 15:01 194 boot.ini
29.07.2006 18:30 17.223 ComboFix.2006-08-09.081124.txt
29.07.2006 14:44 904 rapport3a.txt
29.07.2006 14:44 904 rapport.txt
29.07.2006 14:37 1.094 rapport3.txt
29.07.2006 14:36 5.266 avenger2.txt
29.07.2006 14:19 1.457 VundoFix.txt
21.07.2006 19:57 904 rapport2.txt
11.05.2006 19:08 0 IO.SYS
11.05.2006 19:08 0 AUTOEXEC.BAT
11.05.2006 19:08 0 CONFIG.SYS
11.05.2006 19:08 0 MSDOS.SYS

#20 **
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner


**
wende noch mal vundofix an

**
Avenger

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccax
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awvvw

Files to delete:

C:\WINDOWS\system32\xaccf.ini
C:\WINDOWS\system32\xaccf.bak
C:\WINDOWS\system32\xaccf.bak1
C:\WINDOWS\system32\fccax.dll
C:\WINDOWS\system32\awvvw.dll
C:\WINDOWS\_MSRSTRT.EXE
C:\WINDOWS\em.ocx
C:\WINDOWS\em06y.ini
C:\drsmartload849a8b9.exe
C:\drsmartload46a8b9.exe
C:\drsmartload45a8b9.exe

**
poste den report

**
poste noch mal die 4 logs von datfindbat

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dtigmvek

*******************

Script file located at: \??\C:\WINDOWS\System32\ffpuopcf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\xaccf.ini deleted successfully.


File C:\WINDOWS\system32\xaccf.bak not found!
Deletion of file C:\WINDOWS\system32\xaccf.bak failed!

Could not process line:
C:\WINDOWS\system32\xaccf.bak
Status: 0xc0000034

File C:\WINDOWS\system32\xaccf.bak1 deleted successfully.
File C:\WINDOWS\system32\fccax.dll deleted successfully.
File C:\WINDOWS\system32\awvvw.dll deleted successfully.
File C:\WINDOWS\_MSRSTRT.EXE deleted successfully.
File C:\WINDOWS\em.ocx deleted successfully.
File C:\WINDOWS\em06y.ini deleted successfully.
File C:\drsmartload849a8b9.exe deleted successfully.
File C:\drsmartload46a8b9.exe deleted successfully.
File C:\drsmartload45a8b9.exe deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccax deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awvvw deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\WINDOWS\system32

15.08.2006 19:49 308.269 xaccf.bak2
15.08.2006 19:47 2.206 wpa.dbl
22.07.2006 18:57 311.604 perfh009.dat
22.07.2006 18:57 39.992 perfc009.dat
22.07.2006 18:57 316.594 perfh007.dat
22.07.2006 18:57 48.156 perfc007.dat
22.07.2006 18:57 723.744 PerfStringBackup.INI
21.07.2006 14:11 25.065 wmpscheme.xml
21.07.2006 13:47 90.296 FNTCACHE.DAT
21.07.2006 13:46 261 $winnt$.inf
21.07.2006 13:41 2.951 CONFIG.NT
21.07.2006 13:41 2.951 config.bak
21.07.2006 13:41 16.832 amcompat.tlb
21.07.2006 13:41 23.392 nscompat.tlb
21.07.2006 13:39 488 logonui.exe.manifest
21.07.2006 13:39 488 WindowsLogon.manifest
21.07.2006 13:39 749 cdplayer.exe.manifest
21.07.2006 13:39 749 wuaucpl.cpl.manifest
21.07.2006 13:39 749 sapi.cpl.manifest
21.07.2006 13:39 749 nwc.cpl.manifest
21.07.2006 13:39 749 ncpa.cpl.manifest
21.07.2006 13:36 21.740 emptyregdb.dat
21.07.2006 13:32 0 h323log.txt
08.06.2006 12:08 534.208 SymNeti.dll
08.06.2006 12:08 161.472 SymRedir.dll
17.05.2006 11:23 579.888 LegitCheckControl.DLL
16.05.2006 14:34 87.808 S32EVNT1.DLL
27.04.2006 17:49 288.417 SrchSTS.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\DOKUME~1\AI-CHE~1\LOKALE~1\Temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\WINDOWS

15.08.2006 20:01 0 0.log
15.08.2006 19:59 26.756 SchedLgU.Txt
09.08.2006 08:18 610 affbun.txt
09.08.2006 08:11 146.535 setupact.log
09.08.2006 08:05 237.096 setupapi.log
06.08.2006 15:01 227 system.ini
06.08.2006 15:01 472 win.ini
29.07.2006 14:28 215 wiadebug.log
29.07.2006 14:28 50 wiaservc.log
21.07.2006 14:11 1.174 OEWABLog.txt
21.07.2006 14:05 5.905 KB893803v2.log
21.07.2006 14:05 1.374 imsins.log
21.07.2006 14:05 1.277 ocmsn.log
21.07.2006 14:05 3.560 netfxocm.log
21.07.2006 14:05 1.626 tabletoc.log
21.07.2006 14:05 1.182 msgsocm.log
21.07.2006 14:05 12.700 ntdtcsetup.log
21.07.2006 14:05 13.014 tsoc.log
21.07.2006 14:05 21.310 comsetup.log
21.07.2006 14:05 54.396 iis6.log
21.07.2006 14:05 17.719 FaxSetup.log
21.07.2006 14:05 18.590 ocgen.log
21.07.2006 14:05 11.894 msmqinst.log
21.07.2006 13:47 8.192 REGLOCS.OLD
21.07.2006 13:46 4.382 imsins.BAK
21.07.2006 13:41 0 control.ini
21.07.2006 13:41 299.552 WMSysPrx.prx
21.07.2006 13:41 4.161 ODBCINST.INI
21.07.2006 13:40 280 Windows Update.log
21.07.2006 13:39 749 WindowsShell.Manifest
21.07.2006 13:37 1.060 sessmgr.setup.log
21.07.2006 13:36 36 vb.ini
21.07.2006 13:36 37 vbaddin.ini
21.07.2006 13:36 128 DtcInstall.log
21.07.2006 13:30 2.774 regopt.log
21.07.2006 13:28 0 Sti_Trace.log
21.07.2006 13:23 0 setuperr.log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9069-2DEB

Verzeichnis von C:\

15.08.2006 20:02 0 sys.txt
15.08.2006 20:02 3.598 system.txt
15.08.2006 20:02 136 systemtemp.txt
15.08.2006 20:02 86.267 system32.txt
15.08.2006 20:00 402.653.184 PAGEFILE.SYS
15.08.2006 20:00 2.916 avenger.txt
15.08.2006 20:00 267.964.416 hiberfil.sys
15.08.2006 19:59 1.727 VundoFix.txt
09.08.2006 08:18 345 asdf.txt
09.08.2006 08:11 18.640 ComboFix.txt
06.08.2006 15:01 194 boot.ini
29.07.2006 18:30 17.223 ComboFix.2006-08-09.081124.txt
29.07.2006 14:44 904 rapport3a.txt
29.07.2006 14:44 904 rapport.txt
29.07.2006 14:37 1.094 rapport3.txt
29.07.2006 14:36 5.266 avenger2.txt
21.07.2006 19:57 904 rapport2.txt
11.05.2006 19:08 0 IO.SYS
11.05.2006 19:08 0 MSDOS.SYS
11.05.2006 19:08 0 AUTOEXEC.BAT
11.05.2006 19:08 0 CONFIG.SYS


SUPERAntiSpyware Scan Log
Generated 08/15/2006 at 08:13 PM

Core Rules Database Version : 3052
Trace Rules Database Version: 1099

Memory threats detected : 0
Registry threats detected : 164
File threats detected : 92

Adware.Vundo Variant
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32
HKCR\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}\InprocServer32#ThreadingModel
C:\WINDOWS\System32\awvvw.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks#{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}

Adware.Mirar/NetNucleus
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}
HKCR\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}
HKCR\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}
HKCR\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}\InprocServer32
HKCR\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}\InprocServer32#ThreadingModel
HKCR\CLSID\{9A9C9B69-F908-4AAB-8D0C-10EA8997F37E}\TypeLib
C:\WINDOWS\System32\WinNB57.dll
HKLM\Software\Microsoft\Internet Explorer\Toolbar#{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\InprocServer32
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\InprocServer32#ThreadingModel
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties#Version
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties#BuildName
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties#Show3X
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties#ShowType
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties#PopupCount
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties#BlockEnable
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\Properties#Ticket
HKCR\CLSID\{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}\TypeLib
HKCR\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}
HKCR\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}\1.0
HKCR\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}\1.0\0
HKCR\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}\1.0\0\win32
HKCR\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}\1.0\FLAGS
HKCR\TypeLib\{566DEDE9-9ED8-45DA-9BE6-9B2EEAB17F49}\1.0\HELPDIR
HKU\S-1-5-21-842925246-2147116755-1060284298-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser#{9A9C9B68-F908-4AAB-8D0C-10EA8997F37E}
HKCR\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}
HKCR\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}\InprocServer32
HKCR\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}\InprocServer32#ThreadingModel
HKCR\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}\ProgID
HKCR\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}\Programmable
HKCR\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}\TypeLib
HKCR\CLSID\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}\VersionIndependentProgID
HKCR\Interface\{1037B06C-84B7-4240-8D80-485810A0497D}
HKCR\Interface\{1037B06C-84B7-4240-8D80-485810A0497D}\ProxyStubClsid
HKCR\Interface\{1037B06C-84B7-4240-8D80-485810A0497D}\ProxyStubClsid32
HKCR\Interface\{1037B06C-84B7-4240-8D80-485810A0497D}\TypeLib
HKCR\Interface\{1037B06C-84B7-4240-8D80-485810A0497D}\TypeLib#Version
HKCR\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}
HKCR\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}\ProxyStubClsid
HKCR\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}\ProxyStubClsid32
HKCR\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}\TypeLib
HKCR\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}\TypeLib#Version
HKCR\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D}
HKCR\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D}\ProxyStubClsid
HKCR\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D}\ProxyStubClsid32
HKCR\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D}\TypeLib
HKCR\Interface\{54B287F9-FD90-4457-B65E-CB91560C021D}\TypeLib#Version
HKCR\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F}
HKCR\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F}\ProxyStubClsid
HKCR\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F}\ProxyStubClsid32
HKCR\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F}\TypeLib
HKCR\Interface\{6E4C7AFC-9915-4036-B7F9-8B3F1710788F}\TypeLib#Version
HKCR\NN_Bar_Dummy.NN_BarDummy
HKCR\NN_Bar_Dummy.NN_BarDummy\CLSID
HKCR\NN_Bar_Dummy.NN_BarDummy\CurVer
HKCR\NN_Bar_Dummy.NN_BarDummy.1
HKCR\NN_Bar_Dummy.NN_BarDummy.1\CLSID
HKCR\Mirar_Dummy_ATS.Mirar_Dummy_ATS1
HKCR\Mirar_Dummy_ATS.Mirar_Dummy_ATS1\CLSID
HKCR\Mirar_Dummy_ATS.Mirar_Dummy_ATS1\CurVer
HKCR\Mirar_Dummy_ATS.Mirar_Dummy_ATS1.1
HKCR\Mirar_Dummy_ATS.Mirar_Dummy_ATS1.1\CLSID
HKCR\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}
HKCR\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}\1.0
HKCR\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}\1.0\0
HKCR\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}\1.0\0\win32
HKCR\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}\1.0\FLAGS
HKCR\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}\1.0\HELPDIR
HKCR\CLSID\{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}
HKCR\CLSID\{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}\InprocServer32
HKCR\CLSID\{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}\InprocServer32#ThreadingModel
HKCR\CLSID\{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}\ProgID
HKCR\CLSID\{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}\Programmable
HKCR\CLSID\{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}\TypeLib
HKCR\CLSID\{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}\VersionIndependentProgID
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/WinATS.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/WinATS.dll#.Owner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/WinATS.dll#{8A0DCBDB-6E20-489C-9041-C1E8A0352E75}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8A0DCBDA-6E20-489C-9041-C1E8A0352E75}#UninstallString
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs#C:\WINDOWS\System32\WinATS.dll [
]
C:\WINDOWS\Downloaded Program Files\WinATS.inf
C:\WINDOWS\system32\WinATS.dll

Trojan.WinFixer
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DEE3071D-643D-429D-A96A-10A3F93200B1}
HKCR\CLSID\{DEE3071D-643D-429D-A96A-10A3F93200B1}
HKCR\CLSID\{DEE3071D-643D-429D-A96A-10A3F93200B1}\InprocServer32
HKCR\CLSID\{DEE3071D-643D-429D-A96A-10A3F93200B1}\InprocServer32#ThreadingModel
C:\WINDOWS\System32\vturq.dll

Adware.UCMore/The Search Accelerator
HKU\S-1-5-21-842925246-2147116755-1060284298-1003\Software\Microsoft\Internet Explorer\Toolbar#{44BE0690-5429-47f0-85BB-3FFD8020233E}
HKU\S-1-5-21-842925246-2147116755-1060284298-1003\Software\Maxthon\Plugin\toolbar\{44BE0690-5429-47f0-85BB-3FFD8020233E}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@cgi-bin[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@mediaplex[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@adserver.easyad[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@adecn[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@ads.realtechnetwork[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@findwhat[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@18766632[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@ads.adnet-plus[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@adultfriendfinder[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@as-eu.falkag[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@webstats4u[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@as1.falkag[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@interclick[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@m1.webstats4u[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@indexstats[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@advertising[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@adbrite[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@server.iad.liveperson[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@offers.worldadvertisingdirect[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@media.fastclick[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@www.0stats[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@atdmt[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@stats1.reliablestats[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@doubleclick[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@2o7[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@de.winantivirus[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@www.winantiviruspro[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@www.globaladvertisingservices[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@winantivirus[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@zedo[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@fastclick[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@mbmedia.adbureau[1].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@www.winantivirus[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@overture[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@adopt.hbmediapro[2].txt
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Cookies\ai-chen liao-saiti@revenue[2].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@atwola[2].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@ad.zanox[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@adopt.hbmediapro[2].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@http.edge.vru4[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@winantivirus[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@indexstats[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@partners.webmasterplan[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@www.admedian[2].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@www.popupsandbanners[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@zanox[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@smileycentral[2].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@www.bannersandpopups[1].txt
C:\Dokumente und Einstellungen\aichen\Cookies\aichen@adserver.easyad[2].txt

Unclassified.Unknown Origin
HKCR\CLSID\{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\woa32.exe
C:\WINDOWS\Prefetch\WOA32.EXE-1B62987D.pf

Trojan.NetMon/DNSChange
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR#NextInstance

Trojan.cmdService
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000#DeviceDesc

Adware.MediaMotor
HKCR\mm06ocx.mm06ocxf
HKCR\mm06ocx.mm06ocxf\Clsid
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\Control
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\Implemented Categories
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\Implemented Categories\{0DE86A52-2BAA-11CF-A229-00AA003D7352}
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\Implemented Categories\{0DE86A53-2BAA-11CF-A229-00AA003D7352}
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\Implemented Categories\{0DE86A57-2BAA-11CF-A229-00AA003D7352}
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\Implemented Categories\{40FC6ED4-2438-11CF-A3DB-080036F12502}
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\InprocServer32
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\InprocServer32#ThreadingModel
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\MiscStatus
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\MiscStatus\1
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\ProgID
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\ToolboxBitmap32
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\TypeLib
HKCR\CLSID\{5526B4C6-63D6-41A1-9783-0FABF529859A}\VERSION
HKCR\TypeLib\{D13DECBB-52F8-4BF4-BA6C-B0CC603963C9}
HKCR\TypeLib\{D13DECBB-52F8-4BF4-BA6C-B0CC603963C9}\2.1
HKCR\TypeLib\{D13DECBB-52F8-4BF4-BA6C-B0CC603963C9}\2.1\0
HKCR\TypeLib\{D13DECBB-52F8-4BF4-BA6C-B0CC603963C9}\2.1\0\win32
HKCR\TypeLib\{D13DECBB-52F8-4BF4-BA6C-B0CC603963C9}\2.1\FLAGS
HKCR\TypeLib\{D13DECBB-52F8-4BF4-BA6C-B0CC603963C9}\2.1\HELPDIR
HKCR\Interface\{41E1565D-B7A8-4251-BD79-E6C5FACB2B5F}
HKCR\Interface\{41E1565D-B7A8-4251-BD79-E6C5FACB2B5F}\Forward
HKCR\Interface\{41E1565D-B7A8-4251-BD79-E6C5FACB2B5F}\ProxyStubClsid
HKCR\Interface\{41E1565D-B7A8-4251-BD79-E6C5FACB2B5F}\ProxyStubClsid32
HKCR\Interface\{597AA130-F00B-40B8-ADAF-529D4DA9BE52}
HKCR\Interface\{597AA130-F00B-40B8-ADAF-529D4DA9BE52}\ProxyStubClsid
HKCR\Interface\{597AA130-F00B-40B8-ADAF-529D4DA9BE52}\ProxyStubClsid32
HKCR\Interface\{597AA130-F00B-40B8-ADAF-529D4DA9BE52}\TypeLib
HKCR\Interface\{597AA130-F00B-40B8-ADAF-529D4DA9BE52}\TypeLib#Version
HKCR\Interface\{7682C1A6-C500-4C78-93B9-5A76A91520F8}
HKCR\Interface\{7682C1A6-C500-4C78-93B9-5A76A91520F8}\ProxyStubClsid
HKCR\Interface\{7682C1A6-C500-4C78-93B9-5A76A91520F8}\ProxyStubClsid32
HKCR\Interface\{7682C1A6-C500-4C78-93B9-5A76A91520F8}\TypeLib
HKCR\Interface\{7682C1A6-C500-4C78-93B9-5A76A91520F8}\TypeLib#Version
HKCR\Interface\{DB312456-E762-4369-844A-AED9006B1B2F}
HKCR\Interface\{DB312456-E762-4369-844A-AED9006B1B2F}\Forward
HKCR\Interface\{DB312456-E762-4369-844A-AED9006B1B2F}\ProxyStubClsid
HKCR\Interface\{DB312456-E762-4369-844A-AED9006B1B2F}\ProxyStubClsid32

Trojan.Malware
C:\asdf.txt

Adware.Toolbar888
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888#UninstallString

Trojan.SmartLoad
HKLM\Software\Microsoft\drsmartload2
HKLM\Software\Microsoft\drsmartload2#Installed

Browser Hijacker.Internet Explorer Settings Hijack
HKU\S-1-5-21-842925246-2147116755-1060284298-1003\Software\Microsoft\Internet Explorer\Main#Search Page [ http://searchbar.findthewebsiteyouneed.com ]
HKLM\Software\Microsoft\Internet Explorer\Main#Search Page [ http://searchbar.findthewebsiteyouneed.com ]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main#Default_Search_URL [ http://searchbar.findthewebsiteyouneed.com ]
HKU\S-1-5-21-842925246-2147116755-1060284298-1003\Software\Microsoft\Internet Explorer\Main#Default_Search_URL [ http://searchbar.findthewebsiteyouneed.com ]
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main#Default_Search_URL [ http://searchbar.findthewebsiteyouneed.com ]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main#Search Bar [ http://searchbar.findthewebsiteyouneed.com ]
HKU\S-1-5-21-842925246-2147116755-1060284298-1003\Software\Microsoft\Internet Explorer\Main#Search Bar [ http://searchbar.findthewebsiteyouneed.com ]
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main#Search Bar [ http://searchbar.findthewebsiteyouneed.com ]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main#Default_Search_URL [ http://searchbar.findthewebsiteyouneed.com ]
HKU\S-1-5-21-842925246-2147116755-1060284298-1003\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main#Default_Search_URL [ http://searchbar.findthewebsiteyouneed.com ]
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Search\SearchAssistant Explorer\Main#Default_Search_URL [ http://searchbar.findthewebsiteyouneed.com ]

Adware.IPWins
C:\Programme\ipwins\ipwins.exe
C:\Programme\ipwins\data.dat
C:\Programme\ipwins\settings.dat
C:\Programme\ipwins\s1qs.dat
C:\Programme\ipwins\settingsDate.dat
C:\Programme\ipwins\date.dat
C:\Programme\ipwins\count.dat
C:\Programme\ipwins\s1uc.2.dat
C:\Programme\ipwins\s1ss.2.dat
C:\Programme\ipwins\s3e8.1.dat
C:\Programme\ipwins\s1vc.1.dat
C:\Programme\ipwins\s3kc.dat
C:\Programme\ipwins\Uninst.exe
C:\Programme\ipwins\s54c.dat
C:\Programme\ipwins\s1t4.dat
C:\Programme\ipwins\s1vs.2.dat
C:\Programme\ipwins\s1s4.2.dat
C:\Programme\ipwins

Malware.GreatMemo
C:\Programme\GreatMemo\Language\English.ini
C:\Programme\GreatMemo\Language\French.ini
C:\Programme\GreatMemo\Language
C:\Programme\GreatMemo\setupGreatMemo.exe
C:\Programme\GreatMemo

Trojan.Freeprod
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\install32.exe
C:\WINDOWS\Prefetch\INSTALL32.EXE-03FB8BDD.pf

Unclassified.Unknown Origin/System
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\msinfo32.dll

Browser Hijacker.Favorites
C:\Documents and Settings\Ai-Chen Liao-Saiti\Desktop\Free Laptop.url
C:\Documents and Settings\Ai-Chen Liao-Saiti\Desktop\Online Poker.url
C:\Documents and Settings\Ai-Chen Liao-Saiti\Desktop\Free Ipod.url

#22 whycan

1.
avenger:

Zitat

Files to delete:
C:\WINDOWS\system32\xaccf.bak2

2.
loesche:
C:\Programme\TClock
C:\Programme\GreatMemo
C:\Programme\ipwins

3.
scanne mit Kasperksy und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 -------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 20. August 2006 21:48:00
Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 20/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 203861
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\AI-CHE~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 8871
Viren gefunden: 1
Infizierte Objekte gefunden: 1 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:09:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\i Infizierte Objekte: Trojan-Downloader.BAT.Ftp.ab übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\oakley.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#24 whycan

loesche mit dem Avenger:

Zitat

Files to delete:
C:\WINDOWS\system32\i

**
poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\esxbriye

*******************

Script file located at: \??\C:\WINDOWS\cxrseuus.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\i deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Logfile of HijackThis v1.99.1
Scan saved at 12:15:39, on 24.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\mscn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\Ai-Chen Liao-Saiti\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {2B841475-3083-4394-B6E6-02C9F0193715} - C:\WINDOWS\System32\fccax.dll (file missing)
O2 - BHO: (no name) - {D32C7DDC-307C-4F06-B8D7-BB108C8B5E01} - C:\WINDOWS\System32\tuvts.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} - http://awbeta.net-nucleus.com/FIX/WinATS.cab
O20 - Winlogon Notify: mllih - mllih.dll (file missing)
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: tuvts - C:\WINDOWS\System32\tuvts.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Windows Debug Management - Unknown owner - C:\WINDOWS\system32\mscn.exe

#26 whycan

0.
fixe mit dem HijackThis, was ich oben im Log rot gekennzeichnet habe, dann starte den Rechner neu

Zitat

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

1.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

2.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

3.
Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren)

Windows Debug Management

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#27 ##################
Building Filter
##################
NameLine: Alerter
PathLine: "c:\windows\system32\svchost.exe -k localservice"
NameLine: ALG
PathLine: "c:\windows\system32\alg.exe"
NameLine: AppMgmt
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: AudioSrv
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: AvgServ
PathLine: "c:\progra~1\grisoft\avg6\avgserv.exe" "c:\program files\grisoft\avg6\avgserv.exe"
NameLine: BITS
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: Browser
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: CiSvc
PathLine: "c:\windows\system32\cisvc.exe"
NameLine: ClipSrv
PathLine: "c:\windows\system32\clipsrv.exe"
NameLine: COMSysApp
PathLine: "c:\windows\system32\dllhost.exe /processid:" "c:\windows\system32\dllhost.exe /processid:{02d4b3f1-fd88-11d1-960d-00805fc79235}"
NameLine: CryptSvc
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: DcomLaunch
PathLine: "c:\windows\system32\svchost -k dcomlaunch"
NameLine: Dhcp
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: dmadmin
PathLine: "c:\windows\system32\dmadmin.exe /com"
NameLine: dmserver
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: Dnscache
PathLine: "c:\windows\system32\svchost.exe -k networkservice"
NameLine: ERSvc
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: Eventlog
PathLine: "c:\windows\system32\services.exe"
NameLine: EventSystem
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: FastUserSwitchingCompatibility
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: GhostStartService
PathLine: "c:\progra~1\norton~1\norton~1\ghosts~2.exe" "c:\program files\norton systemworks\norton ghost\ghoststarttrayapp.exe" "c:\progra~1\norton~1\norton~2\ghosts~2.exe"
NameLine: helpsvc
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: HidServ
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: HTTPFilter
PathLine: "c:\windows\system32\svchost.exe -k httpfilter"
NameLine: ImapiService
PathLine: "c:\windows\system32\imapi.exe"
NameLine: LanmanServer
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: LanmanWorkstation
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: LmHosts
PathLine: "c:\windows\system32\svchost.exe -k localservice"
NameLine: Messenger
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: mnmsrvc
PathLine: "c:\windows\system32\mnmsrvc.exe"
NameLine: MSDTC
PathLine: "c:\windows\system32\msdtc.exe"
NameLine: MSIServer
PathLine: "c:\windows\system32\msiexec.exe /v"
NameLine: NetDDE
PathLine: "c:\windows\system32\netdde.exe"
NameLine: NetDDEdsdm
PathLine: "c:\windows\system32\netdde.exe"
NameLine: Netlogon
PathLine: "c:\windows\system32\lsass.exe"
NameLine: Netman
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: Nla
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: NtLmSsp
PathLine: "c:\windows\system32\lsass.exe"
NameLine: NtmsSvc
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: PlugPlay
PathLine: "c:\windows\system32\services.exe"
NameLine: PolicyAgent
PathLine: "c:\windows\system32\lsass.exe"
NameLine: ProtectedStorage
PathLine: "c:\windows\system32\lsass.exe"
NameLine: RasAuto
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: RasMan
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: RDSessMgr
PathLine: "c:\windows\system32\sessmgr.exe"
NameLine: RemoteAccess
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: RpcLocator
PathLine: "c:\windows\system32\locator.exe"
NameLine: RpcSs
PathLine: "c:\windows\system32\svchost -k rpcss"
NameLine: RSVP
PathLine: "c:\windows\system32\rsvp.exe"
NameLine: SamSs
PathLine: "c:\windows\system32\lsass.exe"
NameLine: SCardSvr
PathLine: "c:\windows\system32\scardsvr.exe"
NameLine: Schedule
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: seclogon
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: SENS
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: SharedAccess
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: ShellHWDetection
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: SmcService
PathLine: "c:\program files\sygate\spf\smc.exe" "c:\programmer\sygate\spf\smc.exe"
NameLine: Speed Disk service
PathLine: "c:\program files\norton systemworks\speed disk\nopdb.exe" "c:\progra~1\norton~1\norton~2\speedd~1\nopdb.exe" "c:\programmer\speed disk\nopdb.exe" "c:\progra~1\norton~1\speedd~1\nopdb.exe"
NameLine: Spooler
PathLine: "c:\windows\system32\spoolsv.exe"
NameLine: srservice
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: SSDPSRV
PathLine: "c:\windows\system32\svchost.exe -k localservice"
NameLine: stisvc
PathLine: "c:\windows\system32\svchost.exe -k imgsvc"
NameLine: SwPrv
PathLine: "c:\windows\system32\dllhost.exe /processid:" "c:\windows\system32\dllhost.exe /processid:{41ddad54-1a04-4eee-add8-1265e0961408}" "c:\windows\system32\dllhost.exe /processid:{35367339-dc8f-4fc3-968c-f9df741d4dbe}" "c:\windows\system32\dllhost.exe /processid:{9bc5b651-952c-4947-ac46-563d2749c8a0}" "c:\windows\system32\dllhost.exe /processid:{623ffd12-22a4-493a-849e-b18b08b6d1fd}" "c:\windows\system32\dllhost.exe /processid:{fb5d9a43-1804-43b6-9def-454dd2c27335}" "c:\windows\system32\dllhost.exe /processid:{a1b7c37e-2066-4197-aef1-8e74a4277c4f}" "c:\windows\system32\dllhost.exe /processid:{99f0c999-bd16-4d56-8ee1-3ea1e9c76530}" "c:\windows\system32\dllhost.exe /processid:{19fafb4b-9793-4e18-bb2d-f0a84408002f}" "c:\windows\system32\dllhost.exe /processid:{1dec404a-448f-4d78-99ab-e0abe8543fb8}" "c:\windows\system32\dllhost.exe/processid:{623ffd12-22a4-493a-849e-b18b08b6d1fd}" "c:\windows\system32\dllhost.exe /processid:{2ff4bec0-1924-4bdf-bb94-ef3c93544167}" "c:\windows\system32\dllhost.exe /processid:{ee3322e8-ed2c-4788-bb16-70cb603bc2eb}" "c:\windows\system32\dllhost.exe /processid:{54a4c521-4615-4199-916e-e712c247c8a3}" "c:\windows\system32\dllhost.exe /processid:{2351025a-779a-4ed3-b9c0-7d9937d43346}" "c:\windows\system32\dllhost.exe /processid:{37752eee-49dd-486b-a6f2-9f9075d9037d}" "c:\windows\system32\dllhost.exe /processid:{d2aabb10-5220-4073-965f-2bdc556855c8}" "c:\windows\system32\dllhost.exe /processid:{8fee7177-83f4-4b14-bf06-950d1b4b8916}" "c:\windows\system32\dllhost.exe /processid:{49dc589b-b367-45ec-a9d9-71b4a3b5dc03}"
NameLine: SysmonLog
PathLine: "c:\windows\system32\smlogsvc.exe"
NameLine: TapiSrv
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: TermService
PathLine: "c:\windows\system32\svchost -k dcomlaunch" "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: Themes
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: TrkWks
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: UMWdf
PathLine: "c:\windows\system32\wdfmgr.exe"
NameLine: upnphost
PathLine: "c:\windows\system32\svchost.exe -k localservice"
NameLine: UPS
PathLine: "c:\windows\system32\ups.exe"
NameLine: VMAuthdService
PathLine: "c:\program files\vmware\vmware workstation\vmware-authd.exe" "c:\progra~1\vmware\vmware~1\vmware~1.exe"
NameLine: VMnetDHCP
PathLine: "c:\windows\system32\vmnetdhcp.exe" "c:\windows\system32\vmnetd~1.exe"
NameLine: VMware NAT Service
PathLine: "c:\windows\system32\vmnat.exe"
NameLine: VSS
PathLine: "c:\windows\system32\vssvc.exe"
NameLine: W32Time
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: WebClient
PathLine: "c:\windows\system32\svchost.exe -k localservice"
NameLine: winmgmt
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: WMDM PMSP Service
PathLine: "c:\windows\system32\mspmspsv.exe"
NameLine: WmdmPmSN
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: WmiApSrv
PathLine: "c:\windows\system32\wbem\wmiapsrv.exe"
NameLine: wscsvc
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: wuauserv
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: WZCSVC
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: xmlprov
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: SCardDrv
PathLine: "c:\windows\system32\scardsvr.exe"
NameLine: uploadmgr
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: WmdmPmSp
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: aspnet_state
PathLine: "c:\windows\microsoft.net\framework\v1.1.4322\aspnet_state.exe"
NameLine: Fax
PathLine: "c:\windows\system32\fxssvc.exe"
NameLine: Iprip
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: ose
PathLine: "c:\program files\common files\microsoft shared\source engine\ose.exe" "c:\programmer\fælles filer\microsoft shared\source engine\ose.exe" "c:\progra~1\common~1\micros~1\source~1\ose.exe"
NameLine: SimpTcp
PathLine: "c:\windows\system32\tcpsvcs.exe"
NameLine: SNMP
PathLine: "c:\windows\system32\snmp.exe"
NameLine: SNMPTRAP
PathLine: "c:\windows\system32\snmptrap.exe"
NameLine: VetMsgNT
PathLine: "c:\windows\system32\vetmsgnt.exe" "c:\progra~1\ca\etrust~1\etrust~1\vetmsg.exe"
NameLine: vsmon
PathLine: "c:\windows\system32\zonelabs\vsmon.exe -service"
NameLine: Ati HotKey Poller
PathLine: "c:\windows\system32\atievxx.exe" "c:\windows\system32\ati2evxx.exe"
NameLine: Ip6FwHlp
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: AcrSch2Svc
PathLine: "c:\program files\common files\acronis\schedule2\schedul2.exe" "c:\programmer\fælles filer\acronis\schedule2\schedul2.exe"
NameLine: ccEvtMgr
PathLine: "c:\program files\common files\symantec shared\ccevtmgr.exe"
NameLine: ccPwdSvc
PathLine: "c:\program files\common files\symantec shared\ccpwdsvc.exe"
NameLine: F-Prot Antivirus Update Monitor
PathLine: "c:\program files\fsi\f-prot\fpavupdm.exe"
NameLine: NVSvc
PathLine: "c:\windows\system32\nvsvc32.exe"
NameLine: AOL ACS
PathLine: "c:\progra~1\common~1\aol\acs\acsd.exe" "c:\progra~1\common~1\aol\acs\aolacsd.exe"
NameLine: WANMiniportService
PathLine: "c:\windows\wanmpsvc.exe"
NameLine: LexBceS
PathLine: "c:\windows\system32\lexbces.exe"
NameLine: NetSvc
PathLine: "c:\program files\intel\ncs\sync\netsvc.exe"
NameLine: ATI Smart
PathLine: "c:\windows\system32\ati2sgag.exe"
NameLine: BlackICE
PathLine: "c:\program files\iss\blackice\blackd.exe" "c:\iss\blackice\blackd.exe"
NameLine: iPodService
PathLine: "c:\program files\ipod\bin\ipodservice.exe" "c:\programmer\ipod\bin\ipodservice.exe"
NameLine: LicCtrlService
PathLine: "c:\windows\runservice.exe"
NameLine: RadClock
PathLine: "c:\windows\system32\radclock.exe" "c:\programmer\radlinker\radclock.exe"
NameLine: RapApp
PathLine: "c:\program files\iss\blackice\rapapp.exe" "c:\iss\blackice\rapapp.exe"
NameLine: rpcapd
PathLine: "c:\program files\winpcap\rpcapd.exe -d -f c:\program files\winpcap\rpcapd.ini"
NameLine: ccExtractorService
PathLine: "c:\program files\symantec\deepsight extractor\ccextractorservice.exe"
NameLine: DeepsightExtractor
PathLine: "c:\program files\symantec\deepsight extractor\extractorservice.exe"
NameLine: GEARSecurity
PathLine: "c:\windows\system32\gearsec.exe"
NameLine: YPCService
PathLine: "c:\windows\system32\ypcser~1.exe"
NameLine: Macromedia Licensing Service
PathLine: "c:\program files\common files\macromedia shared\service\macromedia licensing.exe"
NameLine: MDM
PathLine: "c:\program files\common files\microsoft shared\vs7debug\mdm.exe" "c:\programmer\fælles filer\microsoft shared\vs7debug\mdm.exe"
NameLine: navapsvc
PathLine: "c:\program files\norton systemworks\norton antivirus\navapsvc.exe" "c:\program files\norton internet security\norton antivirus\navapsvc.exe" "c:\program files\norton antivirus\navapsvc.exe"
NameLine: NProtectService
PathLine: "c:\program files\norton systemworks\norton utilities\nprotect.exe" "c:\progra~1\norton~1\norton~2\nprotect.exe" "c:\programmer\norton utilities\nprotect.exe"
NameLine: SBService
PathLine: "c:\progra~1\common~1\symant~1\script~1\sbserv.exe"
NameLine: InCDsrv
PathLine: "c:\program files\ahead\incd\incdsrv.exe" "c:\programmer\ahead\incd\incdsrv.exe"
NameLine: PrismXL
PathLine: "c:\program files\common files\lanovation\prismxl\prismxl.sys"
NameLine: ccSetMgr
PathLine: "c:\program files\common files\symantec shared\ccsetmgr.exe"
NameLine: Creative Service for CDROM Access
PathLine: "c:\windows\system32\ctsvccda.exe"
NameLine: RemoteRegistry
PathLine: "c:\windows\system32\svchost.exe -k localservice"
NameLine: SAVScan
PathLine: "c:\program files\norton systemworks\norton antivirus\savscan.exe" "c:\program files\norton internet security\norton antivirus\savscan.exe"
NameLine: Symantec Core LC
PathLine: "c:\program files\common files\symantec shared\ccpd-lc\symlcsvc.exe"
NameLine: SymWSC
PathLine: "c:\program files\common files\symantec shared\security center\symwsc.exe"
NameLine: TlntSvr
PathLine: "c:\windows\system32\tlntsvr.exe"
NameLine: Wmi
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: aswUpdSv
PathLine: "c:\programmer\alwil software\avast4\aswupdsv.exe" "c:\program files\alwil software\avast4\aswupdsv.exe"
NameLine: avast! Antivirus
PathLine: "c:\programmer\alwil software\avast4\ashserv.exe" "c:\program files\alwil software\avast4\ashserv.exe"
NameLine: SLService
PathLine: "c:serv.exe"
NameLine: Pml Driver HPZ12
PathLine: "c:\windows\system32\hpzipm12.exe"
NameLine: cusrvc
PathLine: "c:\arbejdscomp\nwclient32\xp\winnt\i386\redir\cusrvc.exe"
NameLine: CVPND
PathLine: "c:\programmer\cisco systems\vpn client\cvpnd.exe"
NameLine: NALNTSERVICE
PathLine: "c:\programmer\novell\zenworks\nalntsrv.exe"
NameLine: Prometheus Wake-On-LAN Status Agent
PathLine: "c:\programmer\novell\zenworks\remotemanagement\rmagent\wolsernt.exe"
NameLine: Remote Management Agent
PathLine: "c:\programmer\novell\zenworks\remotemanagement\rmagent\zenrem32.exe"
NameLine: SweepNet
PathLine: "c:\programmer\sophos sweep for nt\swnetsup.exe" "c:\program files\sophos sweep for nt\swnetsup.exe"
NameLine: SWEEPSRV.SYS
PathLine: "c:\programmer\sophos sweep for nt\sweepsrv.sys" "c:\program files\sophos sweep for nt\sweepsrv.sys"
NameLine: WebrootCommAgentService
PathLine: "c:\programmer\webroot\enterprise\commagent\commagent.exe"
NameLine: WebrootSpySweeperService
PathLine: "c:\programmer\webroot\enterprise\spy sweeper\spysweeper.exe"
NameLine: ZFDWM
PathLine: "c:\programmer\novell\zenworks\wm.exe"
NameLine: CA_LIC_CLNT
PathLine: "c:\programmer\ca\sharedcomponents\ca_lic\lic98rmt.exe"
NameLine: CA_LIC_SRVR
PathLine: "c:\programmer\ca\sharedcomponents\ca_lic\lic98rmtd.exe"
NameLine: FirewallService
PathLine: "c:\progra~1\bitguard\firewall\firesvc.exe"
NameLine: Irmon
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: LogWatch
PathLine: "c:\programmer\ca\sharedcomponents\ca_lic\logwatnt.exe"
NameLine: x10nets
PathLine: "c:\progra~1\common~1\x10\common\x10nets.exe" "c:\progra~1\atimul~1\remctrl\x10nets.exe"
NameLine: NipSvc
PathLine: "c:\programmer\norman\nvc\bin\nipsvc.exe" "c:\norman\nvc\bin\nipsvc.exe"
NameLine: Norman NJeeves
PathLine: "c:\programmer\norman\nvc\bin\njeeves.exe" "c:\norman\nvc\bin\njeeves.exe"
NameLine: Norman ZANDA
PathLine: "c:\programmer\norman\nvc\bin\zanda.exe" "c:\norman\nvc\bin\zanda.exe"
NameLine: nvcoas
PathLine: "c:\programmer\norman\nvc\bin\nvcoas.exe" "c:\norman\nvc\bin\nvcoas.exe"
NameLine: NVCScheduler
PathLine: "c:\programmer\norman\nvc\bin\nvcsched.exe" "c:\norman\nvc\bin\nvcsched.exe"
NameLine: navi
PathLine: "c:\programmer\verisign\navi\naviagent.exe manifest=https://manifest.verisign-grs.com/manifestnt_414.xml guid={b562bc94-9a3a-4760-ae48-0d52fd01b1b5} interface={3feff9f3-b5f5-4f47-bb96-ce281bfbe15d}"
NameLine: VMTools
PathLine: "c:\program files\vmware\vmware tools\vmwareservice.exe"
NameLine: PersFw
PathLine: "c:\program files\kerio\personal firewall\persfw.exe"
NameLine: StyleXPService
PathLine: "c:\program files\tgtsoft\stylexp\stylexpservice.exe"
NameLine: aksrvnt
PathLine: "c:\windows\system32\aksrvnt.exe"
NameLine: qfcoresvc
PathLine: "c:\program files\pivx\qwik-fix\qfloadsvc.exe"
NameLine: nhksrv
PathLine: "c:\program files\netropa\multimedia keyboard\nhksrv.exe"
NameLine: PDEngine
PathLine: "c:\program files\raxco\perfectdisk\pdengine.exe"
NameLine: PDSched
PathLine: "c:\program files\raxco\perfectdisk\pdsched.exe"
NameLine: ssoftservice
PathLine: "c:oftsrv.exe"
NameLine: DefWatch
PathLine: "c:\programmer\navnt\defwatch.exe" "c:\program files\symantec_client_security\symantec antivirus\defwatch.exe"
NameLine: Intel File Transfer
PathLine: "c:\windows\system32\cba\xfr.exe"
NameLine: Intel PDS
PathLine: "c:\windows\system32\cba\pds.exe"
NameLine: Norton AntiVirus Server
PathLine: "c:\programmer\navnt\rtvscan.exe" "c:\program files\symantec_client_security\symantec antivirus\rtvscan.exe"
NameLine: WinVNC4
PathLine: "c:\programmer\realvnc\vnc4\winvnc4.exe -service"
NameLine: Avg7Alrt
PathLine: "c:\grisoft\avg7\avgamsvr.exe" "c:\progra~1\grisoft\avgfre~1\avgamsvr.exe" "c:\progra~1\grisoft\avg7\avgamsvr.exe"
NameLine: Avg7UpdSvc
PathLine: "c:\grisoft\avg7\avgupsvc.exe" "c:\progra~1\grisoft\avgfre~1\avgupsvc.exe" "c:\progra~1\grisoft\avg7\avgupsvc.exe"
NameLine: EPSONStatusAgent2
PathLine: "c:\program files\common files\epson\ebapi\sagent2.exe"
NameLine: Pctspk
PathLine: "c:\windows\system32\pctspk.exe"
NameLine: APC UPS Service
PathLine: "c:\program files\apc\apc powerchute personal edition\mainserv.exe"
NameLine: winvnc
PathLine: "c:\program files\realvnc\winvnc\winvnc.exe -service"
NameLine: 6to4
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: Autodata Limited License Service
PathLine: "c:\program files\common files\autodata limited shared\service\adcdlicsvc.exe"
NameLine: NwSapAgent
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
NameLine: PREVXAgent
PathLine: "c:\program files\prevx\prevx home\pxagent.exe -f -af"
NameLine: V2i Protector
PathLine: "c:\program files\powerquest\drive image 7.0\agent\pqv2isvc.exe"
NameLine: McShield
PathLine: "c:\progra~1\mcafee.com\vso\mcshield.exe"
NameLine: mcupdmgr.exe
PathLine: "c:\progra~1\mcafee.com\agent\mcupdmgr.exe"
NameLine: MCVSRte
PathLine: "c:\progra~1\mcafee.com\vso\mcvsrte.exe /embedding"
NameLine: ccProxy
PathLine: "c:\program files\common files\symantec shared\ccproxy.exe"
NameLine: ehSched
PathLine: "c:\windows\ehome\ehsched.exe"
NameLine: SNDSrvc
PathLine: "c:\program files\common files\symantec shared\sndsrvc.exe"
NameLine: WmcCdsLs
PathLine: "c:\program files\windows media connect\mswmcls.exe"
NameLine: OODefrag
PathLine: "c:\windows\system32\oodag.exe"
NameLine: KodakCCS
PathLine: "c:\windows\system32\drivers\kodakccs.exe"
NameLine: ScsiAccess
PathLine: "c:\windows\system32\scsiaccess.exe"
NameLine: CAISafe
PathLine: "c:\program files\ca\etrust ez armor\etrust ez antivirus\isafe.exe"
NameLine: eTrustVPN Services
PathLine: "c:\program files\etrust\vpn\evpnsvc.exe"
NameLine: Gilat QMS
PathLine: "c:\program files\gilat\qms\qms.exe"
NameLine: GilatHSU
PathLine: "c:\program files\gilat\gsu\gsu.exe"
NameLine: GilatNetAgent
PathLine: "c:\program files\gilat\netagent.exe"
NameLine: ibqossvc
PathLine: "c:\program files\gilat\ibqos\ibqossvc.exe"
NameLine: RPAService
PathLine: "c:\program files\gilat\internet page accelerator\rpaservice.exe"
NameLine: WgwService
PathLine: "c:\program files\flash networks\nettgain2000\bst\srvany.exe"
NameLine: Apache2
PathLine: "c:\apache group\apache2\bin\apache.exe -k runservice"
NameLine: IISADMIN
PathLine: "c:\windows\system32\inetsrv\inetinfo.exe"
NameLine: matlabserver
PathLine: "c:\matlab6p5\webserver\bin\win32\matlabserver.exe"
NameLine: MySql
PathLine: "c:/mysql/bin/mysqld-nt.exe"
NameLine: SMTPSVC
PathLine: "c:\windows\system32\inetsrv\inetinfo.exe"
NameLine: SPTimer
PathLine: "c:\program files\common files\microsoft shared\web server extensions\50\bin\owstimer.exe"
NameLine: Visual Studio Analyzer RPC bridge
PathLine: "c:\microsoft visual studio\common\tools\vs-ent98\vanalyzr\varpc.exe"
NameLine: W3SVC
PathLine: "c:\windows\system32\inetsrv\inetinfo.exe"
NameLine: Diskeeper
PathLine: "c:\program files\executive software\diskeeperworkstation\dkservice.exe"
NameLine: Pml Driver
PathLine: "c:\windows\system32\hphipm09.exe"
NameLine: SoundMAX Agent Service (default)
PathLine: "c:\program files\analog devices\soundmax\smagent.exe"
NameLine: UPSlim
PathLine: "c:\program files\belkin bulldog\upsd.exe"
NameLine: ccPxySvc
PathLine: "c:\program files\norton internet security\ccpxysvc.exe"
NameLine: Fix-It Task Manager
PathLine: "c:\progra~1\ontrack\fix-it\mxtask.exe -service"
NameLine: NISUM
PathLine: "c:\program files\norton internet security\nisum.exe"
NameLine: usprserv
PathLine: "c:\windows\system32\svchost.exe -k netsvcs"
####################
Done Building Filter
####################


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 24.08.2006 21:36:44 for strings:
; 'windows debug management'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000]
"Service"="Windows Debug Management"
"DeviceDesc"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000\Control]
"ActiveService"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Debug Management]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Debug Management]
"DisplayName"="Windows Debug Management"
"Description"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Debug Management\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Debug Management\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000]
"Service"="Windows Debug Management"
"DeviceDesc"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Debug Management]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Debug Management]
"DisplayName"="Windows Debug Management"
"Description"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Debug Management\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000]
"Service"="Windows Debug Management"
"DeviceDesc"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000\Control]
"ActiveService"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Debug Management]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Debug Management]
"DisplayName"="Windows Debug Management"
"Description"="Windows Debug Management"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Debug Management\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Debug Management\Enum]

; End Of The Log...

#28 ists schon fertig oder hast du nur auf mich vergessen liebe sabina?

lg
whycan

#29 whycan

1.
avenger
http://virus-protect.org/artikel/tools/avenger.html

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Debug Management
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Debug Management
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_DEBUG_MANAGEMENT\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Debug Management

Files to delete:
C:\WINDOWS\system32\mscn.exe
C:\WINDOWS\system32\xaccf.bak2

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
poste den report vom avenger

3.
http://virus-protect.org/multiavtool.html
klicke "2" , nun beginnt der Scan von Trend Micro
poste den scanreport

4.
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit