notfall browser stürzt ab wegen virus

#0
21.07.2006, 19:50
Member

Beiträge: 35
#1 hallo, sabina, hier das hijackthis logfile

glaube es hat auch was mit dem isamonitor zu tun, das tauch auch in meinen laufenden prozessen auf.




Logfile of HijackThis v1.99.1
Scan saved at 19:47:00, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\BMWgroup\ETKLokal\transbase\tbmux32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programme\Media-Codec\pmsngr.exe
C:\Programme\Media-Codec\isamonitor.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Media-Codec\pmmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Media-Codec\isamini.exe
C:\WINDOWS\eHome\ehmsas.exe
c:\programme\freenet\freenet sms\SMSClient.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Thomas\Eigene Dateien\Virenprogramme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=229083
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SMS-Client] "c:\programme\freenet\freenet sms\SMSStarter.exe" -minimized
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: AVSKEYX - http://www.avskey.de/view/avskey/gate/ocx/AVSKeyX.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/webline/x/wla3mp6x.exe
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/nd/nd01310.exe
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://turnier.freenet.de/midasa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://turnier.freenet.de/ctl/kingcomie.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/2318adbeb1a95f5ac915/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141585845843
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - Unknown owner - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Transbase - Transaction Software, D 81737 Munich - C:\BMWgroup\ETKLokal\transbase\tbmux32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
Seitenanfang Seitenende
21.07.2006, 22:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 weinfurtnert

stelle den CleanUp genauso ein, wie hier angegeben:+ PC neustarten
http://virus-protect.org/cleanup.html

-----------------------------------------------------------------

1.
smitfraudfix abarbeiten (option 1 und 2) - lasse auch die registry mitreinigen
http://virus-protect.org/artikel/tools/smitfrautfix.html
(poste bitte die scanreporte)

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Media-Codec" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.07.2006, 09:35
Member

Themenstarter

Beiträge: 35
#3 SmitFraudFix v2.74

Scan done at 9:22:40,04, 22.07.2006
Run from C:\Dokumente und Einstellungen\Thomas\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"coursings"="{f8d02387-789a-4c0f-a1d8-8a93f33ee4df}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Programme\Malware-Wipe\ Deleted
Problem while deleting C:\Programme\Media-Codec\

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\Programme\Media-Codec Deleted

»»»»»»»»»»»»»»»»»»»»»»»» End


listen.bat report:


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS\system32

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
03.12.2003 11:02 56.320 AVSKeyX.dll
03.12.2003 11:35 497 AVSKEYX.osd
16.03.2006 16:58 231.072 avsniff.dll
16.03.2006 16:56 878 avsniff.inf
16.03.2006 16:58 198.304 avsniffdlgs.dll
16.03.2006 16:52 537.704 AXXPEE.dll
16.03.2006 16:56 241 CabSA.inf
12.04.2006 01:00 2.390 catalog.dat
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
12.04.2006 01:00 6.899 ecbootil.vxd
16.03.2006 16:52 42.112 ecmldr32.dll
12.04.2006 01:00 288.424 ecmsvr32.dll
21.09.2005 16:11 1.124.872 EPUWALcontrol.dll
09.02.2005 16:54 1.271 erma.inf
16.06.2004 06:02 323.584 isusweb.dll
20.06.2003 07:12 728 jinstall-1_4_2.inf
16.05.2006 16:30 236 KingComIE.inf
13.09.2005 10:33 402.952 Midasa.dll
01.09.2005 11:26 341 midasa.inf
16.03.2006 16:54 6.850 navapi.vxd
16.03.2006 16:54 201.896 navapi32.dll
12.04.2006 01:00 124.584 naveng32.dll
12.04.2006 01:00 837.288 navex32a.dll
10.08.2004 11:10 770.048 px_client.ocx
03.06.2004 10:04 524.445 RdxIE.dll
16.03.2006 16:58 161.480 rufsi.dll
12.04.2006 01:00 97.440 scrauth.dat
27.08.2005 14:30 5.065 swflash.inf
12.04.2006 01:00 8.145 symaveng.cat
12.04.2006 01:00 901 symaveng.inf
12.04.2006 01:00 45.988 tcdefs.dat
12.04.2006 01:00 706.379 tcscan7.dat
12.04.2006 01:00 286.186 tcscan8.dat
12.04.2006 01:00 564.664 tcscan9.dat
12.04.2006 01:00 453 tinf.dat
12.04.2006 01:00 148 tinfidx.dat
12.04.2006 01:00 1.957 tinfl.dat
12.04.2006 01:00 53.297 tscan1.dat
12.04.2006 01:00 1.237 tscan1hd.dat
12.04.2006 01:00 5.516 v.grd
12.04.2006 01:00 2.256 v.sig
12.04.2006 01:00 106.244 virscan.inf
12.04.2006 01:00 948.450 virscan1.dat
12.04.2006 01:00 561.178 virscan2.dat
12.04.2006 01:00 145.676 virscan3.dat
12.04.2006 01:00 320.086 virscan4.dat
12.04.2006 01:00 2.294.934 virscan5.dat
12.04.2006 01:00 388.320 virscan6.dat
12.04.2006 01:00 3.351.418 virscan7.dat
12.04.2006 01:00 1.521.327 virscan8.dat
12.04.2006 01:00 3.163.397 virscan9.dat
12.04.2006 01:00 32 virscant.dat
15.04.2006 13:32 2.072 vscanmsx.dat
26.05.2005 05:19 291 wuweb.inf
12.04.2006 01:00 224 zdone.dat
58 Datei(en) 20.785.586 Bytes
0 Verzeichnis(se), 144.941.338.624 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp

22.07.2006 09:29 <DIR> .
22.07.2006 09:29 <DIR> ..
22.07.2006 09:29 <DIR> IncrediMail
14.04.2002 07:57 4.731 Rtscan.ini
22.07.2006 09:28 408 WCESCOMM.LOG
22.07.2006 09:29 81.920 ~DF3D71.tmp
22.07.2006 09:28 16.384 ~DFD709.tmp
4 Datei(en) 103.443 Bytes
3 Verzeichnis(se), 144.941.338.624 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\WINDOWS\Temp

22.07.2006 09:30 <DIR> .
22.07.2006 09:30 <DIR> ..
22.07.2006 09:28 16.384 Perflib_Perfdata_15c.dat
14.04.2002 07:57 4.731 Rtscan.ini
2 Datei(en) 21.115 Bytes
2 Verzeichnis(se), 144.941.334.528 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\Temp

22.07.2006 09:13 <DIR> .
22.07.2006 09:13 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 144.941.334.528 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

edit (Sabina)

Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten

30.05.2005 08:27 <DIR> Adobe
30.10.2005 14:27 <DIR> Ahead
17.03.2006 00:39 <DIR> Apple Computer
30.05.2006 07:35 <DIR> ApplicationHistory
10.07.2006 23:36 246.784 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
18.01.2006 19:16 <DIR> Electronic Arts
16.02.2006 16:24 <DIR> FRITZ!
28.05.2005 12:40 139 fusioncache.dat
13.01.2006 05:41 <DIR> GBelectronics
03.06.2006 01:33 179.400 GDIPFONTCACHEV1.DAT
28.06.2006 10:14 <DIR> Google
25.01.2006 04:22 <DIR> Help
24.08.2005 09:06 <DIR> Identities
03.08.2005 13:57 <DIR> IM
13.05.2006 10:00 <DIR> king.com
11.11.2005 17:57 <DIR> Microsoft
30.01.2006 23:40 <DIR> Sony Ericsson
15.04.2006 16:01 <DIR> Sunbelt Software
25.01.2006 01:56 <DIR> Yahoo
18.01.2006 17:09 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142060}
3 Datei(en) 426.323 Bytes
17 Verzeichnis(se), 144.941.330.432 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten

30.01.2006 23:29 <DIR> Adobe
16.12.2005 01:07 <DIR> AdobeUM
07.03.2006 11:24 <DIR> Ahead
08.03.2006 11:38 <DIR> Apple Computer
22.01.2006 14:09 <DIR> BHV
10.04.2006 22:04 <DIR> Buhl Data Service GmbH
01.10.2005 21:02 <DIR> CD-LabelPrint
29.04.2006 09:20 <DIR> Cherry
12.07.2005 11:01 <DIR> CokeFridge Radioplayer
19.11.2005 10:55 <DIR> CyberLink
05.08.2005 12:18 <DIR> FileMaker
04.03.2006 23:21 <DIR> freenet iPhone
18.02.2006 13:11 <DIR> FRITZ!
20.09.2005 07:58 <DIR> Google
28.05.2005 21:19 <DIR> Help
06.07.2005 18:51 <DIR> Hemera
20.05.2005 13:58 <DIR> Identities
29.05.2005 15:29 <DIR> Image Zone Express
07.06.2005 22:48 <DIR> InterVideo
31.10.2005 08:52 <DIR> Lavasoft
03.12.2005 11:34 <DIR> Leadertech
10.06.2005 15:47 <DIR> Macromedia
12.03.2006 15:32 <DIR> MAGIX
16.08.2005 15:04 <DIR> MobileAction
14.11.2005 11:17 <DIR> Pinnacle Systems
27.11.2005 18:37 <DIR> Real
30.01.2006 23:38 <DIR> Sony Ericsson
02.07.2006 23:12 <DIR> Sprite PC Agent
30.06.2005 11:08 <DIR> Sun
30.01.2006 23:01 <DIR> Teleca
03.06.2006 00:33 <DIR> TerraTec
19.03.2006 16:28 <DIR> Ulead Systems
26.12.2005 16:19 <DIR> Webroot
0 Datei(en) 0 Bytes
33 Verzeichnis(se), 144.941.326.336 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 7C74-ED29

Verzeichnis von C:\Programme\Gemeinsame Dateien

16.06.2006 12:47 <DIR> .
16.06.2006 12:47 <DIR> ..
20.05.2005 14:13 <DIR> Adobe
07.12.2005 22:16 <DIR> Ahead
10.04.2006 21:22 <DIR> BDElster
30.05.2006 07:33 <DIR> Buhl Data Service
29.04.2006 09:13 <DIR> Cherry
28.05.2005 15:47 <DIR> DESIGNER
20.05.2005 13:53 <DIR> Dienste
15.03.2006 18:06 <DIR> GBelectronics Shared
16.06.2006 12:47 <DIR> GIS
29.05.2005 14:18 <DIR> HP
16.06.2005 10:35 <DIR> InstallShield
30.06.2005 11:06 <DIR> Java
13.05.2006 10:00 <DIR> king.com
25.08.2005 01:39 <DIR> MAGIX Shared
16.06.2006 12:47 <DIR> MapServ
14.05.2006 14:52 <DIR> Microsoft Shared
20.05.2005 13:53 <DIR> MSSoap
04.08.2005 12:39 <DIR> Oberon Media
14.05.2006 14:51 <DIR> ODBC
23.07.2005 17:39 <DIR> Real
16.06.2005 10:40 <DIR> SONY Digital Images
20.05.2005 14:48 <DIR> SpeechEngines
28.05.2005 15:47 <DIR> System
15.02.2006 20:17 <DIR> Teleca Shared
03.06.2006 00:21 <DIR> TerraTec
16.06.2005 10:41 <DIR> Ulead Systems
26.12.2005 16:19 <DIR> Webroot Shared
23.07.2005 17:39 <DIR> xing shared
0 Datei(en) 0 Bytes
30 Verzeichnis(se), 144.941.326.336 Bytes frei



datfindbat report

21.07.2006 19:19 2.550 Uninstall.ico
21.07.2006 19:19 1.406 Help.ico
21.07.2006 19:19 30.590 pavas.ico
18.07.2006 16:01 13.938 kbdpl132.dll
07.07.2006 16:59 208.896 WRLogonNtf.dll
07.07.2006 16:59 8.704 ssiefr.EXE
07.07.2006 16:59 20.992 wrlzma.dll
04.06.2006 15:21 1.158 wpa.dbl
30.05.2006 07:41 520.928 FNTCACHE.DAT
29.05.2006 12:02 45.056 CompiledAdapter
16.05.2006 07:41 27 mcheck.mhf
06.04.2006 10:54 73.728 asuninst.exe
03.04.2006 10:59 128 xposer.cfg
03.04.2006 10:59 128 asinst.cfg
29.03.2006 15:18 8.224 GDIPFONTCACHEV1.DAT
26.03.2006 23:37 420.836 perfh009.dat
26.03.2006 23:37 81.172 perfc007.dat
26.03.2006 23:37 432.624 perfh007.dat
26.03.2006 23:37 69.900 perfc009.dat
26.03.2006 23:37 1.016.924 PerfStringBackup.INI
14.02.2006 10:20 550.120 LegitCheckControl.dll
13.02.2006 20:03 8.632 spmsg.dll
26.01.2006 10:48 15.360 BASSMOD.dll
25.01.2006 03:35 200.704 libssl32.dll
19.01.2006 17:10 7.006 jupdate-1.5.0_06-b05.log
18.01.2006 17:09 3.243 jupdate-1.4.2_06-b03.log
14.01.2006 08:54 23.392 nscompat.tlb
14.01.2006 08:54 16.832 amcompat.tlb
08.12.2005 14:56 65.536 QuickTimeVR.qtx
08.12.2005 14:56 49.152 QuickTime.qts
20.11.2005 17:12 552 d3d8caps.dat
10.11.2005 14:03 49.265 jpicpl32.cpl
10.11.2005 12:27 49.250 javaw.exe
10.11.2005 12:27 49.248 java.exe
03.11.2005 12:50 200.704 ssleay32.dll
03.11.2005 12:50 1.064.960 libeay32.dll
03.11.2005 10:43 0 asfiles.txt
03.11.2005 10:40 1.718 Open.ico
03.11.2005 10:40 1.406 AddQuit.ico
03.11.2005 10:40 5.350 IE.ico
03.11.2005 10:40 9.470 Desktop.ico
03.11.2005 10:40 1.718 Quick.ico
01.11.2005 14:19 7.314.334 WinTemp20584.exe
01.11.2005 14:19 105 MSRunningDLL.exe.bat
01.11.2005 14:19 51.733 plugin1.dat
24.10.2005 15:20 82.432 msxml4r.dll
24.10.2005 15:20 1.233.920 msxml4.dll
24.10.2005 15:20 44.544 msxml4a.dll
Seitenanfang Seitenende
22.07.2006, 12:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 weinfurtnert

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:

C:\WINDOWS\system32\kbdpl132.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: (no name) - {5753791b-f607-48ca-814e-91c14d081f9e} - C:\Programme\Media-Codec\isaddon.dll
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - (no file)
PC neustarten

3.
mache einen Onlinescan mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.07.2006, 14:10
Member

Themenstarter

Beiträge: 35
#5 __________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ivwbox[1].txt
Risk: Medium

Name: Adware.Generic
Path: HKU\S-1-5-21-1906362370-3587733247-3442554471-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5753791B-F607-48CA-814E-91C14D081F9E}
Risk: Medium

Name: Downloader.Small.cgu
Path: C:\avenger\backup.zip/avenger/kbdpl132.dll
Risk: High

Name: Adware.SearchAssistant
Path: C:\Program Files\PestTrap\heur000.dll
Risk: Medium

Name: Adware.Casino
Path: M:\T-Mobile MDA\PDA Pocket Pc -250_Games -MDAII_O2_QTEK\An Easy To Learn Blackjack System(PC) (Ebook Pdf).rar/BlackJack.exe
Risk: Medium
Seitenanfang Seitenende
22.07.2006, 15:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 alles, was du bisher gepostet hast, wird wieder erscheinen...kopiere nur diesen Teil ab:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als neu.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die neu.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files\PestTrap" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.07.2006, 15:21
Member

Themenstarter

Beiträge: 35
#7 Verzeichnis von C:\Program Files\PestTrap

21.07.2006 17:01 <DIR> .
21.07.2006 17:01 <DIR> ..
21.07.2006 17:01 410.880 base.avd
21.07.2006 17:01 268 base001.avd
21.07.2006 17:01 25.778 base002.avd
21.07.2006 17:01 7.304 found.wav
21.07.2006 17:01 124.928 heur000.dll
21.07.2006 17:01 126.464 heur001.dll
21.07.2006 17:01 21.126 notfound.wav
21.07.2006 17:01 100 PestTrap.dvm
21.07.2006 17:01 18.132 removed.wav
21.07.2006 17:01 36.864 Uninstall.exe
10 Datei(en) 771.844 Bytes
2 Verzeichnis(se), 144.917.176.320 Bytes frei
Seitenanfang Seitenende
22.07.2006, 15:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

PestTrap

in edit und klicke "Ok"..Notepad wird sich oeffnen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.07.2006, 15:35
Member

Themenstarter

Beiträge: 35
#9 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 22.07.2006 15:33:32 for strings:
; 'pesttrap'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Seitenanfang Seitenende
22.07.2006, 16:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Avenger

Zitat

registry keys to delete:

HKU\S-1-5-21-1906362370-3587733247-3442554471-1006\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5753791B-F607-48CA-814E-91C14D081F9E}

Files to delete:

C:\Program Files\PestTrap\base.avd
C:\Program Files\PestTrap\base001.avd
C:\Program Files\PestTrap\base002.avd
C:\Program Files\PestTrap\found.wav
C:\Program Files\PestTrap\heur000.dll
C:\Program Files\PestTrap\heur001.dll
C:\Program Files\PestTrap\notfound.wav
C:\Program Files\PestTrap\PestTrap.dvm
C:\Program Files\PestTrap\removed.wav
C:\Program Files\PestTrap\Uninstall.exe
**
poste den report vom avenger


**
C:\avenger\backup.zip <-loeschen
C:\Program Files\PestTrap <-loeschen

----------------------------------------------------------------

dann berichte, wie es so laeuft ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2006, 01:54
Member

Themenstarter

Beiträge: 35
#11 hallo,habe leider vergessen das avenger report zu speichern.

habe jetzt nochmal ewido scan gmacht und ist sauber.

mit pc passt auch wieder alles glaube ich. ist schon um einiges wieder schneller.

hier der scan

_________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@komtrack[2].txt
Risk: Medium

Name: Adware.Casino
Path: M:\T-Mobile MDA\PDA Pocket Pc -250_Games -MDAII_O2_QTEK\An Easy To Learn Blackjack System(PC) (Ebook Pdf).rar/BlackJack.exe
Risk: Medium
Seitenanfang Seitenende
23.07.2006, 11:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 poste das log von winpfind :
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2006, 12:08
Member

Themenstarter

Beiträge: 35
#13 hallo, hier das logfile von winpfind

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 12.12.2003 01:52:36 278668 C:\WINDOWS\epsuninst.exe
UPX! 25.07.2005 02:04:32 57344 C:\WINDOWS\Unwash6.exe

Checking %System% folder...
PEC2 10.08.2004 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
UPX! 19.07.2002 13:08:14 182784 C:\WINDOWS\SYSTEM32\DGVorbis.dll
UPX! 10.09.2003 22:48:56 83456 C:\WINDOWS\SYSTEM32\EHelperA.dll
UPX! 01.08.2005 09:10:46 140800 C:\WINDOWS\SYSTEM32\lame_enc.dll
PTech 14.02.2006 10:20:14 550120 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
aspack 10.08.2004 14:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 10.08.2004 14:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 10.08.2004 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
22.07.2006 17:16:18 S 2048 C:\WINDOWS\bootstat.dat
18.07.2006 15:27:16 H 54156 C:\WINDOWS\QTFont.qfn
22.07.2006 18:39:40 H 1024 C:\WINDOWS\system32\config\default.LOG
22.07.2006 17:16:24 H 1024 C:\WINDOWS\system32\config\SAM.LOG
23.07.2006 09:16:34 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
23.07.2006 12:02:52 H 1024 C:\WINDOWS\system32\config\software.LOG
22.07.2006 18:08:02 H 1024 C:\WINDOWS\system32\config\system.LOG
15.07.2006 02:15:40 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\b70004ee-932c-4d3c-bc4a-97a1d8d6cb77
15.07.2006 02:15:40 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
26.05.2006 18:43:52 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\0252d6ea-ccec-4c6a-ae61-7b4027bbd230
26.05.2006 18:43:52 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
22.07.2006 17:16:26 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 10.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\access.cpl
Realtek Semiconductor Corp. 24.03.2005 22:10:48 R 17899520 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL
Microsoft Corporation 10.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 10.08.2004 14:00:00 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 10.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 10.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 10.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 10.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 10.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 10.08.2004 14:00:00 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 10.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 14:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 10.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
AvantGo, Inc. 22.12.2003 03:28:00 69632 C:\WINDOWS\SYSTEM32\mbllnk.cpl
Microsoft Corporation 10.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Presenter, Inc. 13.08.2001 12:11:48 41054 C:\WINDOWS\SYSTEM32\MobileConvertCPL.cpl
Microsoft Corporation 10.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Ahead Software AG 09.10.2002 13:36:14 57344 C:\WINDOWS\SYSTEM32\NeroBurnRights.cpl
Microsoft Corporation 10.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 10.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 10.08.2004 14:00:00 38400 C:\WINDOWS\SYSTEM32\nwc.cpl
Microsoft Corporation 10.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
30.07.1998 13:44:02 14336 C:\WINDOWS\SYSTEM32\pmxusb.cpl
11.06.2001 01:54:00 32768 C:\WINDOWS\SYSTEM32\PocketSlidesExportOptions.cpl
Microsoft Corporation 10.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 10.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 10.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 10.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 10.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 05:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 10.08.2004 14:00:00 70656 C:\WINDOWS\SYSTEM32\dllcache\access.cpl
Microsoft Corporation 10.08.2004 14:00:00 555008 C:\WINDOWS\SYSTEM32\dllcache\appwiz.cpl
Microsoft Corporation 10.08.2004 14:00:00 138240 C:\WINDOWS\SYSTEM32\dllcache\desk.cpl
Microsoft Corporation 10.08.2004 14:00:00 80384 C:\WINDOWS\SYSTEM32\dllcache\firewall.cpl
Microsoft Corporation 10.08.2004 14:00:00 157184 C:\WINDOWS\SYSTEM32\dllcache\hdwwiz.cpl
Microsoft Corporation 10.08.2004 14:00:00 359424 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 10.08.2004 14:00:00 133120 C:\WINDOWS\SYSTEM32\dllcache\intl.cpl
Microsoft Corporation 10.08.2004 14:00:00 69632 C:\WINDOWS\SYSTEM32\dllcache\joy.cpl
Microsoft Corporation 10.08.2004 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 10.08.2004 14:00:00 625152 C:\WINDOWS\SYSTEM32\dllcache\mmsys.cpl
Microsoft Corporation 10.08.2004 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 10.08.2004 14:00:00 25600 C:\WINDOWS\SYSTEM32\dllcache\netsetup.cpl
Microsoft Corporation 10.08.2004 14:00:00 260096 C:\WINDOWS\SYSTEM32\dllcache\nusrmgr.cpl
Microsoft Corporation 10.08.2004 14:00:00 38400 C:\WINDOWS\SYSTEM32\dllcache\nwc.cpl
Microsoft Corporation 10.08.2004 14:00:00 32768 C:\WINDOWS\SYSTEM32\dllcache\odbccp32.cpl
Microsoft Corporation 10.08.2004 14:00:00 117248 C:\WINDOWS\SYSTEM32\dllcache\powercfg.cpl
Microsoft Corporation 10.08.2004 14:00:00 159744 C:\WINDOWS\SYSTEM32\dllcache\sapi.cpl
Microsoft Corporation 10.08.2004 14:00:00 303104 C:\WINDOWS\SYSTEM32\dllcache\sysdm.cpl
Microsoft Corporation 10.08.2004 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 10.08.2004 14:00:00 94208 C:\WINDOWS\SYSTEM32\dllcache\timedate.cpl
Microsoft Corporation 10.08.2004 14:00:00 148480 C:\WINDOWS\SYSTEM32\dllcache\wscui.cpl
Microsoft Corporation 26.05.2005 05:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
24.12.2005 16:56:08 HS 77 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
20.05.2005 14:47:54 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
24.12.2005 16:58:22 HS 77 C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\Autostart\Desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
20.05.2005 14:47:54 HS 62 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\desktop.ini
07.03.2006 11:29:58 H 86528 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\rbap500.dll
07.03.2006 11:29:58 H 50176 C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\RBShell500.dll

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IMMenuShellExt
{F8984111-38B6-11D5-8725-0050DA2761C4} = C:\PROGRA~1\INCRED~1\bin\ImShExt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Keyman
{1D90D062-79E5-4A16-A162-98CDAC75C915} = C:\Programme\Cherry\KeyMan\KeyManExpShellExt.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Washer
{6EE51AA0-77A0-11D7-B4E1-000347126E46} = C:\PROGRA~1\GEMEIN~1\WEBROO~1\SHELLW~1.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{616c1f06-bad8-11d2-b355-00104b642749}
= muangsys.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\SpySweeper
{7C9D5882-CB4A-4090-96C8-430BFE8B795B} = C:\PROGRA~1\Webroot\SPYSWE~1\SSCtxMnu.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{616c1f06-bad8-11d2-b355-00104b642749}
= muangsys.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\IPSContMenu
{EBDF1F20-C829-11D1-8233-0020AF3E97A9} =
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Keyman
{1D90D062-79E5-4A16-A162-98CDAC75C915} = C:\Programme\Cherry\KeyMan\KeyManExpShellExt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Washer
{6EE51AA0-77A0-11D7-B4E1-000347126E46} = C:\PROGRA~1\GEMEIN~1\WEBROO~1\SHELLW~1.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882}
= C:\Programme\Gemeinsame Dateien\Ahead\lib\NeroDigitalExt.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{955BE0B8-BC85-4CAF-856E-8E0D8B610560}
Hilfsobjekt für Encarta Web-Begleiter = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{327C2873-E90D-4c37-AA9D-10AC9BABA46C} = Easy-WebPrint : C:\Programme\Canon\Easy-WebPrint\Toolband.dll
{147D6308-0614-4112-89B1-31402F9B82C4} = Encarta Web-Begleiter : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
Search Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\system32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\system32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{147D6308-0614-4112-89B1-31402F9B82C4} = Encarta Web-Begleiter : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ehTray C:\WINDOWS\ehome\ehtray.exe
TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
PinnacleDriverCheck "C:\WINDOWS\system32\PSDrvCheck.exe" -CheckReg
RemoteControl C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
KernelFaultCheck %systemroot%\system32\dumprep 0 -k
SpySweeper "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
SoundMan SOUNDMAN.EXE
ATIPTA C:\ATI-CPanel\atiptaxx.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime
CherryKeyMan "C:\Programme\Cherry\KeyMan\KeyMan.exe"
HotKey C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
FreePDF Assistant C:\Programme\FreePDF_XP\fpassist.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
H/PC Connection Agent "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
SMS-Client "c:\programme\freenet\freenet sms\SMSStarter.exe" -minimized

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\services

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bootvis.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bootvis.lnk
backup C:\WINDOWS\pss\Bootvis.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MIEE63~1\BOOTVI~1.EXE 50 "C:\Programme\Microsoft Bootvis\BootVis.exe"
item Bootvis
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bootvis.lnk
backup C:\WINDOWS\pss\Bootvis.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MIEE63~1\BOOTVI~1.EXE 50 "C:\Programme\Microsoft Bootvis\BootVis.exe"
item Bootvis

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Printkey2000.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk
backup C:\WINDOWS\pss\Printkey2000.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\PRINTK~1\PRINTK~1.EXE
item Printkey2000
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Printkey2000.lnk
backup C:\WINDOWS\pss\Printkey2000.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\PRINTK~1\PRINTK~1.EXE
item Printkey2000

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Service Manager.lnk
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk
backup C:\WINDOWS\pss\Service Manager.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MI6841~1\80\Tools\Binn\sqlmangr.exe /n
item Service Manager
path C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Service Manager.lnk
backup C:\WINDOWS\pss\Service Manager.lnkCommon Startup
location Common Startup
command C:\PROGRA~1\MI6841~1\80\Tools\Binn\sqlmangr.exe /n
item Service Manager

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloneCDElbyCDFL
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ElbyCheck
hkey HKLM
command "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item ElbyCheck
hkey HKLM
command "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Easy-PrintToolBox
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item BJPSMAIN
hkey HKLM
command C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item BJPSMAIN
hkey HKLM
command C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\L06DXLRD_381217437
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item EDICT
hkey HKCU
command "C:\Programme\Microsoft Lernen und Wissen\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE" -m
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item EDICT
hkey HKCU
command "C:\Programme\Microsoft Lernen und Wissen\Microsoft Lernen und Wissen 2006 DVD\EDICT.EXE" -m
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MOD
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item muamgr
hkey HKLM
command c:\programme\microangelo\muamgr.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item muamgr
hkey HKLM
command c:\programme\microangelo\muamgr.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINDOWS\system32\NeroCheck.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item NeroCheck
hkey HKLM
command C:\WINDOWS\system32\NeroCheck.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ulead Quick-Drop
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item Quick-Drop
hkey HKLM
command "C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item Quick-Drop
hkey HKLM
command "C:\Programme\Ulead Systems\Ulead FilmBrennerei 4.0 Deluxe\Ulead Quick-Drop 1.0\Quick-Drop.exe" WINDOWCALL
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\USIUDF_Eject_Monitor
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item USISrv
hkey HKLM
command C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\USISrv.exe
inimapping 0
key SOFTWARE\Microsoft\Windows\CurrentVersion\Run
item USISrv
hkey HKLM
command C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\USISrv.exe
inimapping 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\state
system.ini 0
win.ini 0
bootini 2
services 0
startup 2


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Windows Reg Services C:\WINDOWS\system32\ffservice.exe
DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID
{17492023-C23A-453E-A040-C7C580BBF700} 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\comdlg32
NoFileMru 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun ß
NoRecentDocsMenu 
NoSMHelp 
NoRecentDocsNetHood 
NoComputersNearMe 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WRNotifier
= WRLogonNTF.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 23.07.2006 12:03:07
Seitenanfang Seitenende
23.07.2006, 13:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Troj/Dloader-BY (Information)
http://www.sophos.de/security/analyses/trojdloaderby.html

--------------------------------------------------------------------------------------------
1.
Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - ffservice.exe und lservice.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Windows Reg Services C:\WINDOWS\system32\ffservice.exe -> loeschen
DirectX For Microsoft® Windows C:\WINDOWS\system32\fservice.exe -> loeschen

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe"-> loeschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe"-> loeschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\

Windows Reg Services = "C:\WINDOWS\System32\ffservice.exe"-> loeschen

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed
Components\
{a75aed00-d7bf-11d1-9947-00c0Cf98bbc9}\ -> loeschen
StubPath = "C:\\WINDOWS\\System32\\lservice.exe"


HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\comdlg32
NoFileMru 1 -> in 0 aendern

-----------------------------------------------

Avenger

Zitat

Files to delete:

C:\WINDOWS\System32\lservice.exe
C:\WINDOWS\system32\ffservice.exe
poste das log vom Avenger
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2006, 13:46
Member

Themenstarter

Beiträge: 35
#15 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kyjuumdj

*******************

Script file located at: \??\C:\Program Files\rwpdadsh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\System32\lservice.exe not found!
Deletion of file C:\WINDOWS\System32\lservice.exe failed!

Could not process line:
C:\WINDOWS\System32\lservice.exe
Status: 0xc0000034



File C:\WINDOWS\system32\ffservice.exe not found!
Deletion of file C:\WINDOWS\system32\ffservice.exe failed!

Could not process line:
C:\WINDOWS\system32\ffservice.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: