Bitte um überprüfung meines HijackThis Logfile.

#0
23.07.2006, 13:04
...neu hier

Beiträge: 6
#1 Hallo zusammen,

wie einige andere bin ich beim Thema Viren auch ein Newbie also wenn ich was vergessen haben sollte bitte nicht schimpfen. ;-)

Also seit gestern bekommen ich von meinem AntiVir eine Meldung das ich einen Virus habe. Zum teil geht diese Meldung bis zu 5-6mal auf.

Er befindet sich: C:\WINDOWS\system32\dxtpdx.dll und als weitere Info bekomme ich: "Ist das Trojanische Pferd TR/PSW.PdPi.CT.1.D

Ich habe die Datei aber nicht unter system32 gefunden.

Nun habe ich mit HijackThis ein Logfile erstellt, würde mich freuen wenn ihr mir helfen könnt.

Logfile of HijackThis v1.99.1
Scan saved at 12:00:19, on 23.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\atmlib87.exe
C:\WINDOWS\system32\ctfmon.exe
C:\winstall.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Network Monitor\netmon.exe
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\Adobe Gamma Loader.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\1XConfig.exe
E:\Spiele\Die Schlacht um Mittelerde\lotrbfme.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [ÿ_zskJIB[YM`] C:\WINDOWS\system32\_zskdmwinYMLVFLPE\`MY[BIJ.exe
O4 - HKLM\..\Run: [0018b339a250] C:\WINDOWS\system32\atmlib87.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: 42 AC Plug.lnk = C:\Programme\iOpus-AC-Plug\acplug.exe
O4 - Startup: Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=about:blank
O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll
O20 - Winlogon Notify: Sebring - C:\WINDOWS\system32\LgNotify.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

MfG
AxelFolie
Seitenanfang Seitenende
23.07.2006, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

---------

http://virus-protect.org/artikel/spyware/zskuninst.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2006, 13:23
Moderator

Beiträge: 7805
#3 Da ist einiges an haeftiger Malware aktiv. Alleine der von dir genannter Trojaner hat alle deine Passworte schon geklaut, sowie einige andere Infos. Zudem wird dein PVC zur Zeit als Spambot missbraucht:
C:\WINDOWS\system32\_zskdmwinYMLVFLPE\`MY[BIJ.exe
Das sollte eine Trojan-Proxy.Win32.Agent Variante sein.
Diese Datei deutet auch auf ein Rootkit hin! Normalwerweise sollte dein Rechner nun permanent Daten empfangen und senden!;)

Wie gesagt uich wuerde den Rechner neu aufsetzen und alle Passworte neu vergeben.

Du kannst ja mal spasseshalber noch ein Dafindbat report erstellen: http://board.protecus.de/t23188.htm

und einmal Blacklight laufen lassen:
Blacklight: https://europe.f-secure.com/blacklight/try.shtml Lade es in einen Extra Ordner herunter, starte es, ERkenne die EULA an, druecke Scan und danach solange next, bis nur noch exit angeboten wird. Nun wirst du in dem selben Ordner, in dem auch Blacklicght sich befindet eine log Datei finden poste den Inhalt bitte hier. Mal schauen, was das bringt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.07.2006, 14:39
...neu hier

Themenstarter

Beiträge: 6
#4 Oho, das klingt aber gar nicht gut in meinen Ohren. Zum Glück betreibe ich kein Onlinebanking.

@Sabina

Zu Punkt Eins: CleanUp habe ich durchgeführt und meinen Rechner neugestartet.

Zu Punkt Zwei:

1. Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\WINDOWS\system32

23.07.2006 14:21 6.003 klo5.sys
23.07.2006 14:18 232 ps.a3d

23.07.2006 12:44 148.659 BASSMOD1.exe
23.07.2006 10:53 664 d3d9caps.dat
23.07.2006 10:34 24.576 basesrv4.exe
23.07.2006 10:34 73.728 3ivx2501.exe
23.07.2006 10:34 90.112 atmlib87.exe
23.07.2006 01:01 41.472 taskmgn.exe
23.07.2006 01:01 22.912 gncfodmk.exe
23.07.2006 01:00 0 winrknj
22.07.2006 18:21 148.659 batmeter.exe
22.07.2006 18:15 24.576 atmlib03.exe
22.07.2006 18:15 73.728 capesnpn.exe
22.07.2006 18:15 90.112 atmpvcno.exe

16.07.2006 13:06 98.304 CmdLineExt.dll
06.07.2006 01:14 2.206 wpa.dbl
02.07.2006 16:33 34.308 BASSMOD.dll
19.06.2006 00:29 57.384 avsda.dll
19.06.2006 00:09 487 Installer.log
15.06.2006 21:27 6.961 jupdate-1.5.0_07-b03.log
11.05.2006 12:08 98.304 CddbLangDESony.dll
11.05.2006 12:06 520.192 CddbPlaylist2Sony.dll
11.05.2006 12:05 73.728 CddbLinkSony.dll
11.05.2006 12:05 770.048 CDDBUISony.dll
11.05.2006 12:03 585.728 CddbMusicIDSony.dll
11.05.2006 12:02 643.072 CDDBControlSony.dll
03.05.2006 02:56 127.078 javaws.exe
03.05.2006 02:56 49.265 jpicpl32.cpl
03.05.2006 01:19 53.346 javaw.exe
03.05.2006 01:19 49.248 java.exe

2. Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

23.07.2006 12:06 73.276 ~e5.0001
23.07.2006 10:59 27.343 jusched.log
23.07.2006 07:15 1.627 GLGA7.tmp
23.07.2006 07:15 12.800 GLMA5.tmp
23.07.2006 07:15 34.304 GLKA4.tmp
23.07.2006 07:15 165.376 GLCA3.tmp
23.07.2006 01:00 1.645 GLG52.tmp
23.07.2006 01:00 12.800 GLM50.tmp
23.07.2006 01:00 34.304 GLK4F.tmp
23.07.2006 01:00 165.376 GLC4E.tmp
23.07.2006 00:59 0 $b17a2e8.tmp
23.07.2006 00:58 8.785 a.exe
23.07.2006 00:58 5.368 java_install_reg.log
19.07.2006 21:30 939 jupdate1.5.0.xml
19.07.2006 17:25 31.283 removefiles.txttemp
19.07.2006 17:24 16 persistent_state
19.07.2006 14:24 0 WMM7D.tmp
19.07.2006 11:30 3.584 5acd8b.mst
18.07.2006 23:03 0 4i08A.tmp
18.07.2006 23:03 0 70989.tmp
18.07.2006 23:02 0 33m88.tmp
18.07.2006 23:01 0 er887.tmp
18.07.2006 23:00 0 cca86.tmp
18.07.2006 22:59 0 j6p85.tmp
18.07.2006 22:56 0 9zo84.tmp
18.07.2006 22:56 0 yhd83.tmp
18.07.2006 22:52 0 0me81.tmp
18.07.2006 22:51 0 n207E.tmp
18.07.2006 22:50 0 uz57B.tmp
18.07.2006 22:48 0 3fd78.tmp
18.07.2006 22:47 0 tl175.tmp
18.07.2006 22:39 0 2a771.tmp
18.07.2006 22:39 0 v5z6E.tmp
18.07.2006 22:38 0 nye6B.tmp
18.07.2006 22:35 0 rmj67.tmp
18.07.2006 22:33 0 dhl65.tmp
18.07.2006 22:32 0 luf63.tmp
18.07.2006 22:31 0 gyn60.tmp
18.07.2006 22:31 0 50o5D.tmp
18.07.2006 22:30 0 x1y5A.tmp
18.07.2006 22:30 0 k3457.tmp
18.07.2006 22:29 0 d6655.tmp
18.07.2006 22:29 0 8xi53.tmp
18.07.2006 22:28 0 ivt4F.tmp
18.07.2006 22:27 0 88r4D.tmp
18.07.2006 22:26 0 kt24A.tmp
18.07.2006 22:25 0 iia47.tmp
18.07.2006 22:25 0 azo44.tmp
18.07.2006 22:23 0 ojj3E.tmp
18.07.2006 22:22 0 ta13B.tmp
18.07.2006 22:21 0 4r138.tmp
18.07.2006 22:21 0 t6i35.tmp
18.07.2006 22:12 0 z212C.tmp
18.07.2006 22:09 0 m0529.tmp
18.07.2006 22:07 0 2l526.tmp
18.07.2006 22:06 0 c3s23.tmp
18.07.2006 22:04 0 r0f21.tmp
18.07.2006 22:03 0 g5m1F.tmp
18.07.2006 22:02 0 xjz1B.tmp
18.07.2006 22:01 0 vfo16.tmp
18.07.2006 22:00 0 31b15.tmp
18.07.2006 21:59 0 k0v14.tmp
18.07.2006 21:58 0 yz713.tmp
18.07.2006 21:55 0 537F.tmp
18.07.2006 21:55 0 4qvD.tmp
18.07.2006 21:55 0 1k6B.tmp
18.07.2006 21:53 0 ac79.tmp
18.07.2006 21:53 0 4cz6.tmp
18.07.2006 15:42 49.152 ~DF9B94.tmp
18.07.2006 00:47 0 49q28.tmp
18.07.2006 00:46 0 tlh27.tmp
18.07.2006 00:44 0 wgc26.tmp
18.07.2006 00:43 0 4c725.tmp
18.07.2006 00:43 0 6if24.tmp
18.07.2006 00:42 0 3ay23.tmp
18.07.2006 00:37 0 pkt22.tmp
18.07.2006 00:33 0 vfv1E.tmp
18.07.2006 00:31 0 d121D.tmp
18.07.2006 00:30 0 wgn1A.tmp
18.07.2006 00:30 0 mnh19.tmp
18.07.2006 00:28 0 k3r17.tmp
18.07.2006 00:27 0 hrs15.tmp
18.07.2006 00:22 0 0jr12.tmp
18.07.2006 00:20 0 esj10.tmp
18.07.2006 00:19 0 0qpA.tmp
17.07.2006 23:51 0 h929.tmp
17.07.2006 23:46 0 wco5.tmp
16.07.2006 13:06 46.592 drm_dialogs.dll
16.07.2006 13:05 234 _isdelet.ini

15.07.2006 23:57 0 g0s4C.tmp
15.07.2006 23:57 0 ioi4B.tmp
15.07.2006 23:56 0 w7p48.tmp
15.07.2006 23:56 0 w6b45.tmp
15.07.2006 23:56 0 cjb42.tmp
15.07.2006 23:55 0 tf140.tmp
15.07.2006 23:54 0 xqx3E.tmp
15.07.2006 23:54 0 i8z3C.tmp
15.07.2006 23:53 0 8ki3A.tmp
15.07.2006 23:50 0 x8337.tmp
15.07.2006 23:48 0 bjl2F.tmp
15.07.2006 23:47 0 5qa2D.tmp
15.07.2006 23:41 0 de128.tmp
15.07.2006 23:39 0 4e324.tmp
15.07.2006 23:39 0 rdh20.tmp
15.07.2006 23:38 0 v6d1F.tmp
15.07.2006 23:37 0 gfn1D.tmp
15.07.2006 23:36 0 eo91B.tmp
15.07.2006 23:34 0 6y416.tmp
14.07.2006 18:45 37 FCCADD4F.TMP
12.07.2006 18:58 194 setup.log
12.07.2006 18:55 140 setupreg.log
12.07.2006 18:54 5.248 plf7.tmp
11.07.2006 13:45 4.128 miunst_.exe
11.07.2006 13:09 997.888 WM2006-1.xls
10.07.2006 22:34 0 impC2.tmp
10.07.2006 09:58 15.007.744 SWL4B.tmp
10.07.2006 08:02 0 2d1F.tmp
10.07.2006 01:36 5.767.168 SWL7D.tmp
09.07.2006 17:38 0 qloB4.tmp
09.07.2006 11:56 10.538 control.xml
09.07.2006 03:30 17.072.128 SWL8C.tmp
08.07.2006 07:37 0 CacheInfo.dnl
06.07.2006 21:29 47.235 LVCOMSX.LOG
06.07.2006 01:09 16.285.696 SWLC5.tmp
05.07.2006 23:19 1.326.080 WM2006.xls
05.07.2006 17:56 2.825.116 bt6343.bat
05.07.2006 17:54 16.384 Perflib_Perfdata_67c.dat
05.07.2006 17:53 2.825.116 bt8642.bat
05.07.2006 17:23 2.825.116 bt0730.bat
05.07.2006 17:08 2.825.116 bt3378.bat
04.07.2006 07:06 2.825.116 bt4313.bat
30.06.2006 01:19 0 86o48.tmp
30.06.2006 01:16 0 la547.tmp
30.06.2006 01:15 0 s9446.tmp
30.06.2006 01:15 0 i2q45.tmp
30.06.2006 01:15 0 bdk44.tmp
30.06.2006 01:14 0 9zy43.tmp
30.06.2006 01:09 0 ik642.tmp
30.06.2006 01:07 0 8qv41.tmp
29.06.2006 23:31 512 ~DF914C.tmp
29.06.2006 23:31 34.304 ~WRS0002.tmp
29.06.2006 22:57 16.384 ~WRF0000.tmp
29.06.2006 22:57 512 ~DF75B.tmp
29.06.2006 21:04 0 41m27.tmp
29.06.2006 14:25 785.302 fla1E.tmp
29.06.2006 14:11 0 6pe14.tmp
29.06.2006 14:11 0 vgc13.tmp
29.06.2006 14:10 0 36w12.tmp
29.06.2006 13:54 0 9rkD.tmp
26.06.2006 20:01 920.068 tmp.xpi
26.06.2006 16:48 5.242.880 SWL4C.tmp
25.06.2006 19:33 16.384 ~DF64BC.tmp
25.06.2006 19:31 32.768 ~DF9C7B.tmp
22.06.2006 11:05 16.384 ~DF2984.tmp
21.06.2006 15:25 106 setloc.inf
20.06.2006 14:53 69.120 mpegdll.dll
19.06.2006 02:43 0 ~D.tmp
19.06.2006 01:40 0 ~27.tmp
19.06.2006 01:32 0 ~24.tmp
19.06.2006 01:10 0 ~1E.tmp
18.06.2006 16:47 32.768 ~DF6D51.tmp
18.06.2006 16:47 32.768 ~DF604A.tmp
16.06.2006 09:28 0 ~73.tmp
15.06.2006 21:28 298.296 azplugins_2.0.jar
15.06.2006 21:28 767 AZU64124.tmp
15.06.2006 21:27 23.568 java_install.log
15.06.2006 21:25 872 jinstall.cfg
15.06.2006 16:20 32.768 ~DF677A.tmp
15.06.2006 16:20 32.768 ~DF5843.tmp
13.06.2006 22:55 512 ~DFADE2.tmp
13.06.2006 22:55 32.768 ~DF8663.tmp
13.06.2006 19:34 2.189 wecerr.txt
13.06.2006 19:34 415 EXCEL.log
12.06.2006 23:58 283 wahtmltmp00.htm
01.06.2006 23:19 134 57B4E612.TMP
22.05.2006 22:22 32.768 ~DF46B8.tmp
22.05.2006 22:20 32.768 ~DFF6C9.tmp
22.05.2006 22:20 32.768 ~DFE54A.tmp
20.05.2006 11:03 32.768 ~DF4844.tmp
20.05.2006 11:03 16.384 ~DF4832.tmp
16.05.2006 17:12 0 JET36.tmp
16.05.2006 17:12 0 JETBCBE.tmp
16.05.2006 17:12 0 JETA333.tmp
16.05.2006 17:12 0 JETA2BB.tmp
16.05.2006 17:12 0 JETA239.tmp
16.05.2006 17:12 0 JET32.tmp
16.05.2006 17:12 0 JETA170.tmp
16.05.2006 17:12 0 JET30.tmp
16.05.2006 17:12 0 JETA06C.tmp
16.05.2006 17:12 0 JET2F.tmp
16.05.2006 17:12 0 JET9F90.tmp
16.05.2006 17:12 0 JET2E.tmp
16.05.2006 17:12 0 JET9F4A.tmp
16.05.2006 17:12 0 JET2C.tmp
16.05.2006 17:12 0 JET9EB3.tmp
16.05.2006 17:12 0 JET9E45.tmp
16.05.2006 17:12 0 JET29.tmp
16.05.2006 17:12 0 JET9D91.tmp
16.05.2006 17:12 0 JET26.tmp
16.05.2006 17:12 0 JET20.tmp
16.05.2006 17:12 0 JET9D23.tmp
16.05.2006 17:12 0 JET1C.tmp
16.05.2006 17:12 0 JET9BE2.tmp
16.05.2006 17:12 0 JET18.tmp
16.05.2006 17:12 0 JET9AFC.tmp
16.05.2006 17:12 0 JET14.tmp
16.05.2006 17:12 0 JET9A66.tmp
16.05.2006 17:12 0 JET10.tmp
16.05.2006 17:12 0 JET99C6.tmp
16.05.2006 17:12 0 JETB.tmp
16.05.2006 17:12 0 JET98F3.tmp
16.05.2006 17:12 0 JET8.tmp
16.05.2006 17:12 0 JET8B56.tmp
16.05.2006 17:12 0 JET8B4C.tmp
16.05.2006 17:12 0 JET7.tmp
16.05.2006 17:12 0 JET5.tmp
16.05.2006 17:12 0 JET8B38.tmp
16.05.2006 17:12 0 JET3.tmp
16.05.2006 17:12 0 JET8B2E.tmp
16.05.2006 16:10 0 JET2B.tmp
16.05.2006 16:10 0 JETD04F.tmp
16.05.2006 16:10 0 JETB1CC.tmp
16.05.2006 16:10 0 JETB154.tmp
16.05.2006 16:10 0 JETB0B4.tmp
16.05.2006 16:10 0 JET27.tmp
16.05.2006 16:10 0 JETB00A.tmp
16.05.2006 16:10 0 JET25.tmp
16.05.2006 16:10 0 JETAE8D.tmp
16.05.2006 16:10 0 JET24.tmp
16.05.2006 16:10 0 JETAE33.tmp
16.05.2006 16:10 0 JET23.tmp
16.05.2006 16:10 0 JETADD9.tmp
16.05.2006 16:10 0 JET21.tmp
16.05.2006 16:10 0 JETAD2F.tmp
16.05.2006 16:10 0 JET1F.tmp
16.05.2006 16:10 0 JETACC0.tmp
16.05.2006 16:10 0 JETAC2A.tmp
16.05.2006 16:10 0 JET1D.tmp
16.05.2006 16:10 0 JET1B.tmp
16.05.2006 16:10 0 JETAA5E.tmp
16.05.2006 16:10 0 JETA837.tmp
16.05.2006 16:10 0 JET19.tmp
16.05.2006 16:10 0 JET17.tmp
16.05.2006 16:10 0 JETA73C.tmp
16.05.2006 16:10 0 JET15.tmp
16.05.2006 16:10 0 JETA6CE.tmp
16.05.2006 16:10 0 JET13.tmp
16.05.2006 16:10 0 JETA606.tmp
16.05.2006 16:10 0 JET11.tmp
16.05.2006 16:10 0 JETA566.tmp
16.05.2006 16:10 0 JETF.tmp
16.05.2006 16:10 0 JET8E0B.tmp
16.05.2006 16:10 0 JET8DCF.tmp
16.05.2006 16:10 0 JETE.tmp
16.05.2006 16:10 0 JETC.tmp
16.05.2006 16:10 0 JET8A5E.tmp
16.05.2006 16:10 0 JETA.tmp
16.05.2006 16:10 0 JET8A36.tmp
16.05.2006 15:13 512 ~DFF32.tmp
16.05.2006 14:53 512 ~DF2017.tmp
08.05.2006 18:49 32.768 ~DF3C91.tmp
08.05.2006 18:49 32.768 ~DF2D86.tmp


3. Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\WINDOWS

23.07.2006 14:18 1.409 QTFont.for
23.07.2006 14:18 54.156 QTFont.qfn
23.07.2006 14:18 432.061 WindowsUpdate.log
23.07.2006 14:18 159 wiadebug.log
23.07.2006 14:18 50 wiaservc.log
23.07.2006 14:18 0 0.log
23.07.2006 14:18 2.048 bootstat.dat
23.07.2006 11:00 32 CD_Start.INI
23.07.2006 10:53 588.260 ntbtlog.txt
23.07.2006 10:28 32.618 SchedLgU.Txt
23.07.2006 01:01 16.896 inetloader.dll
23.07.2006 01:00 0 keyboard1.dat

22.07.2006 17:15 116 NeroDigital.ini
22.07.2006 08:33 972.231 setupapi.log
19.07.2006 14:17 28 MotionDVSTUDIO.INI
19.07.2006 11:45 316.640 WMSysPr9.prx
19.07.2006 11:30 681 KB842787.log
19.07.2006 11:30 510 KB830363.log
16.07.2006 12:53 37.415 DirectX.log
11.07.2006 12:11 626 ODBC.INI
09.07.2006 12:00 71.787 wmsetup.log
04.07.2006 12:04 180.468 setupact.log
01.07.2006 00:29 24 mainser
26.06.2006 20:01 2.909 mozver.dat
26.06.2006 13:03 0 nsreg.dat
19.05.2006 01:23 42 metView.ini
18.05.2006 23:51 720.896 iun6002.exe
13.05.2006 13:34 761 stwin05.ini
13.05.2006 13:34 112 d2hnav.ini


4. Log

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\

23.07.2006 14:21 0 sys.txt
23.07.2006 14:21 8.287 system.txt
23.07.2006 14:21 18.086 systemtemp.txt
23.07.2006 14:21 116.384 system32.txt
23.07.2006 14:18 1.610.612.736 pagefile.sys
23.07.2006 14:14 2 DirDPFCns.txt
23.07.2006 14:14 398 DirDPF.txt
23.07.2006 00:58 32.768 winstall.exe
23.07.2006 00:58 0 uniq

08.04.2006 10:21 192 BcBtRmv.log
31.03.2006 09:30 0 MSDOS.SYS
31.03.2006 09:30 0 IO.SYS
31.03.2006 09:30 0 CONFIG.SYS
31.03.2006 09:30 0 AUTOEXEC.BAT
31.03.2006 09:23 211 boot.ini
15.02.2006 14:32 202 echo.bat
23.01.2006 15:36 429 datFind.bat
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 47.564 NTDETECT.COM
31.12.2002 14:00 251.184 ntldr
20 Datei(en) 1.611.093.395 Bytes
0 Verzeichnis(se), 2.323.832.832 Bytes frei

Zu Punkt 3:

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 13:00 5.019 swflash.inf
1 Datei(en) 5.019 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 5.019 Bytes
0 Verzeichnis(se), 2.323.824.640 Bytes frei

Weis aber nicht ob das mit dem Echobat richtig funktioniert hat.

@raman

07/23/06 14:42:54 [Info]: BlackLight Engine 1.0.42 initialized
07/23/06 14:42:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/23/06 14:42:54 [Note]: 7019 4
07/23/06 14:42:54 [Note]: 7005 0
07/23/06 14:43:00 [Note]: 7006 0
07/23/06 14:43:00 [Error]: 6009 1
07/23/06 14:43:00 [Error]: 6009 0
07/23/06 14:43:14 [Note]: 7026 0
07/23/06 14:43:15 [Note]: 7026 0
07/23/06 14:43:15 [Note]: 7024 3
07/23/06 14:43:15 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe
07/23/06 14:43:15 [Note]: 7024 3
07/23/06 14:43:15 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE
07/23/06 14:43:15 [Note]: FSRAW library version 1.7.1019
07/23/06 14:44:33 [Info]: Hidden file: c:\WINDOWS\system32\dxtpdh.sys
07/23/06 14:44:33 [Note]: 10002 1
07/23/06 14:44:33 [Info]: Hidden file: c:\WINDOWS\system32\dxtpdx.dll
07/23/06 14:44:34 [Note]: 7002 0
07/23/06 14:44:34 [Note]: 7003 1
07/23/06 14:44:34 [Note]: 10002 1
07/23/06 14:44:35 [Info]: Hidden file: c:\WINDOWS\system32\ms87.dat
07/23/06 14:44:35 [Note]: 10002 1
07/23/06 14:44:37 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat
07/23/06 14:44:37 [Note]: 10002 1
07/23/06 14:44:38 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll
07/23/06 14:44:39 [Note]: 7002 0
07/23/06 14:44:39 [Note]: 7003 1
07/23/06 14:44:39 [Note]: 10002 1
07/23/06 14:44:39 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys
07/23/06 14:44:39 [Note]: 10002 1
07/23/06 14:47:05 [Note]: 7002 0
07/23/06 14:47:05 [Note]: 7003 1
07/23/06 14:47:05 [Error]: 6023 5
07/23/06 14:47:12 [Note]: 7007 0


MfG
Dieser Beitrag wurde am 23.07.2006 um 14:50 Uhr von AxelFolie editiert.
Seitenanfang Seitenende
23.07.2006, 15:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 0.
CleanUp! anwenden + PC neustarten..noch einmal !
http://virus-protect.org/cleanup.html

1.
liste.zip -> entpacken -> liste.bat doppeltklicken -> der Texteditor wird sich oeffnen-> mit der rechten Maustaste abkopieren und "einfuegen" in den Thread.
http://virus-protect.org/zip/liste.zip

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

dxtpdh

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2006, 15:50
Passwort: gast
Avatar Gastaccount

Beiträge: 0
#6 Schau dir mal diese beiden Dateien mit dem Editor an:

23.07.2006 14:21 6.003 klo5.sys
23.07.2006 14:18 232 ps.a3d

dort siehst du, was der Trojaner dir schon alles gestohlen hat.
Seitenanfang Seitenende
23.07.2006, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 das ist ein Haxdoor - man kann ihn loeschen, natuerlich waere formatieren das vernuenftigste..... und in Zukunft nicht auf den falschen Seiten surfen und nicht das falsche laden.............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2006, 16:31
...neu hier

Themenstarter

Beiträge: 6
#8 @Sabina

zu 0:

CleanUp durchgeführt

zu 1:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.03.2006 13:00 5.019 swflash.inf
1 Datei(en) 5.019 Bytes
0 Verzeichnis(se), 2.324.942.848 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

23.07.2006 16:09 <DIR> .
23.07.2006 16:09 <DIR> ..
31.03.2006 10:21 105 $tmp$.url
23.07.2006 16:08 <DIR> 01083070
18.07.2006 00:22 0 0jr12.tmp
18.07.2006 22:52 0 0me81.tmp
18.07.2006 00:19 0 0qpA.tmp
31.03.2006 19:49 0 1.10.0.5195.deDE
03.03.2004 11:11 56.832 1445f7.mst
31.03.2006 12:33 56.832 14ec41.mst
08.04.2006 09:47 0 1f148.mst
08.04.2006 09:47 0 1f149.mst
03.12.2003 23:39 57.344 1f14a.mst
18.07.2006 21:55 0 1k6B.tmp
08.04.2006 09:04 0 23d455.mst
08.04.2006 09:04 0 23d456.mst
03.12.2003 23:39 57.344 23d457.mst
18.07.2006 22:39 0 2a771.tmp
10.07.2006 08:02 0 2d1F.tmp
03.03.2004 11:11 56.832 2e846.mst
18.07.2006 22:07 0 2l526.tmp
18.07.2006 22:00 0 31b15.tmp
18.07.2006 23:02 0 33m88.tmp
26.01.2005 13:49 54.272 3594cc.mst
29.06.2006 14:10 0 36w12.tmp
18.07.2006 00:42 0 3ay23.tmp
18.07.2006 22:48 0 3fd78.tmp
29.06.2006 21:04 0 41m27.tmp
18.07.2006 00:47 0 49q28.tmp
18.07.2006 00:43 0 4c725.tmp
18.07.2006 21:53 0 4cz6.tmp
15.07.2006 23:39 0 4e324.tmp
18.07.2006 23:03 0 4i08A.tmp
18.07.2006 21:55 0 4qvD.tmp
18.07.2006 22:21 0 4r138.tmp
18.07.2006 22:31 0 50o5D.tmp
18.07.2006 21:55 0 537F.tmp
03.03.2004 11:11 56.832 53a55.mst
01.06.2006 23:19 134 57B4E612.TMP
19.07.2006 11:30 3.584 5acd8b.mst
15.07.2006 23:47 0 5qa2D.tmp
18.07.2006 00:43 0 6if24.tmp
29.06.2006 14:11 0 6pe14.tmp
15.07.2006 23:34 0 6y416.tmp
18.07.2006 23:03 0 70989.tmp
30.06.2006 01:19 0 86o48.tmp
18.07.2006 22:27 0 88r4D.tmp
15.07.2006 23:53 0 8ki3A.tmp
30.06.2006 01:07 0 8qv41.tmp
18.07.2006 22:29 0 8xi53.tmp
29.11.2004 11:27 54.784 92cb1.mst
29.06.2006 13:54 0 9rkD.tmp
18.07.2006 22:56 0 9zo84.tmp
30.06.2006 01:14 0 9zy43.tmp
14.04.2006 21:25 26.584 AAX2.tmp
14.04.2006 15:51 26.584 AAX7.tmp
14.04.2006 15:51 32.396 AAX8.tmp
18.07.2006 21:53 0 ac79.tmp
22.04.2006 16:16 0 ACD1.tmp
22.04.2006 22:23 0 ACD2.tmp
22.04.2006 22:33 0 ACD3.tmp
04.07.2006 17:01 <DIR> AutoRun
03.04.2006 21:16 729.088 AutoRun.exe
22.12.2005 05:49 585.728 AutoRunGUI.dll
18.07.2006 22:25 0 azo44.tmp
15.06.2006 21:28 298.296 azplugins_2.0.jar
15.06.2006 21:28 767 AZU64124.tmp
30.06.2006 01:15 0 bdk44.tmp
12.04.2006 21:36 6.841.085 BigKahunaReefSetup219.exe
15.07.2006 23:48 0 bjl2F.tmp
08.04.2006 10:21 52.446 btwinlog.txt
31.03.2006 13:26 26.365 BWDump.log
31.03.2006 17:22 72.341 BWInstall.log
18.07.2006 22:06 0 c3s23.tmp
11.04.2006 17:11 90.112 cabex.dll
08.07.2006 07:37 0 CacheInfo.dnl
18.07.2006 23:00 0 cca86.tmp
15.07.2006 23:56 0 cjb42.tmp
21.11.2001 14:57 24.576 closedbgout.exe
09.07.2006 11:56 10.538 control.xml
18.07.2006 00:31 0 d121D.tmp
18.07.2006 22:29 0 d6655.tmp
26.04.2006 12:58 114.688 DAPREMOVE.EXE
15.07.2006 23:41 0 de128.tmp
18.07.2006 22:33 0 dhl65.tmp
16.07.2006 13:06 46.592 drm_dialogs.dll
15.06.2006 21:28 <DIR> e4j2F.tmp_dir1387
15.06.2006 21:58 <DIR> e4j3B.tmp_dir7118
17.10.2002 10:19 28.672 enableirsocketutil.exe
15.07.2006 23:36 0 eo91B.tmp
18.07.2006 23:01 0 er887.tmp
17.04.2006 12:52 55.158 erdposter.bmp
18.07.2006 00:20 0 esj10.tmp
13.06.2006 19:34 415 EXCEL.log
23.07.2006 14:42 <DIR> F-Secure
14.07.2006 18:45 37 FCCADD4F.TMP
26.06.2006 13:02 <DIR> ff_temp
29.06.2006 14:25 785.302 fla1E.tmp
27.04.2006 20:57 10.682.608 fla3.tmp
27.04.2006 21:00 2.336.151 fla6.tmp
27.04.2006 21:01 12.008.644 fla7.tmp
26.04.2006 13:02 13.573.791 flaC.tmp
26.04.2006 13:04 3.800.221 flaD.tmp
15.07.2006 23:57 0 g0s4C.tmp
18.07.2006 22:03 0 g5m1F.tmp
15.07.2006 23:37 0 gfn1D.tmp
23.07.2006 01:00 165.376 GLC4E.tmp
23.07.2006 07:15 165.376 GLCA3.tmp
23.07.2006 01:00 1.645 GLG52.tmp
23.07.2006 07:15 1.627 GLGA7.tmp
23.07.2006 01:00 34.304 GLK4F.tmp
23.07.2006 07:15 34.304 GLKA4.tmp
23.07.2006 01:00 12.800 GLM50.tmp
23.07.2006 07:15 12.800 GLMA5.tmp
18.07.2006 22:31 0 gyn60.tmp
17.07.2006 23:51 0 h929.tmp
18.07.2006 00:27 0 hrs15.tmp
30.06.2006 01:15 0 i2q45.tmp
15.07.2006 23:54 0 i8z3C.tmp
31.12.2002 14:00 340.866 IEC50.tmp
22.07.2005 12:34 346.602 IEC6.tmp
18.07.2006 22:25 0 iia47.tmp
30.06.2006 01:09 0 ik642.tmp
10.07.2006 22:34 0 impC2.tmp
06.04.2006 09:10 798.234 IMT10.xml
08.04.2006 08:49 2.036 IMT14.xml
08.04.2006 08:49 426 IMT15.xml
08.04.2006 08:49 798.234 IMT16.xml
12.04.2006 21:24 2.036 IMT18.xml
12.04.2006 21:24 426 IMT19.xml
12.04.2006 21:24 798.234 IMT1A.xml
06.04.2006 09:43 2.036 IMT26.xml
06.04.2006 09:43 426 IMT27.xml
06.04.2006 09:43 798.234 IMT28.xml
06.04.2006 09:05 2.036 IMT5.xml
06.04.2006 09:05 426 IMT6.xml
06.04.2006 09:05 798.234 IMT7.xml
06.04.2006 09:10 2.036 IMTE.xml
06.04.2006 09:10 426 IMTF.xml
24.01.2005 10:24 28.672 installer_URLBLAZE.exe
24.01.2005 10:24 28.672 installer_URLBLAZE.VIR
12.10.2004 11:14 57.344 InstHelp.dll
15.07.2006 23:57 0 ioi4B.tmp
12.04.2006 21:37 <DIR> is-7D85O.tmp
12.04.2006 21:37 <DIR> is-CBVMU.tmp
16.07.2006 12:37 <DIR> isp24.tmp
18.07.2006 22:28 0 ivt4F.tmp
18.07.2006 22:59 0 j6p85.tmp
15.06.2006 21:27 23.568 java_install.log
23.07.2006 00:58 5.368 java_install_reg.log
16.05.2006 17:12 0 JET10.tmp
16.05.2006 16:10 0 JET11.tmp
16.05.2006 16:10 0 JET13.tmp
16.05.2006 17:12 0 JET14.tmp
16.05.2006 16:10 0 JET15.tmp
16.05.2006 16:10 0 JET17.tmp
16.05.2006 17:12 0 JET18.tmp
16.05.2006 16:10 0 JET19.tmp
16.05.2006 16:10 0 JET1B.tmp
16.05.2006 17:12 0 JET1C.tmp
16.05.2006 16:10 0 JET1D.tmp
16.05.2006 16:10 0 JET1F.tmp
16.05.2006 17:12 0 JET20.tmp
16.05.2006 16:10 0 JET21.tmp
16.05.2006 16:10 0 JET23.tmp
16.05.2006 16:10 0 JET24.tmp
16.05.2006 16:10 0 JET25.tmp
16.05.2006 17:12 0 JET26.tmp
16.05.2006 16:10 0 JET27.tmp
16.05.2006 17:12 0 JET29.tmp
16.05.2006 16:10 0 JET2B.tmp
16.05.2006 17:12 0 JET2C.tmp
16.05.2006 17:12 0 JET2E.tmp
16.05.2006 17:12 0 JET2F.tmp
16.05.2006 17:12 0 JET3.tmp
16.05.2006 17:12 0 JET30.tmp
16.05.2006 17:12 0 JET32.tmp
16.05.2006 17:12 0 JET36.tmp
28.04.2006 20:09 0 JET3AE7.tmp
16.05.2006 17:12 0 JET5.tmp
28.04.2006 20:09 0 JET5115.tmp
16.05.2006 17:12 0 JET7.tmp
16.05.2006 17:12 0 JET8.tmp
16.05.2006 16:10 0 JET8A36.tmp
16.05.2006 16:10 0 JET8A5E.tmp
16.05.2006 17:12 0 JET8B2E.tmp
16.05.2006 17:12 0 JET8B38.tmp
16.05.2006 17:12 0 JET8B4C.tmp
16.05.2006 17:12 0 JET8B56.tmp
16.05.2006 16:10 0 JET8DCF.tmp
16.05.2006 16:10 0 JET8E0B.tmp
16.05.2006 17:12 0 JET98F3.tmp
16.05.2006 17:12 0 JET99C6.tmp
16.05.2006 17:12 0 JET9A66.tmp
16.05.2006 17:12 0 JET9AFC.tmp
16.05.2006 17:12 0 JET9BE2.tmp
16.05.2006 17:12 0 JET9D23.tmp
16.05.2006 17:12 0 JET9D91.tmp
16.05.2006 17:12 0 JET9E45.tmp
16.05.2006 17:12 0 JET9EB3.tmp
16.05.2006 17:12 0 JET9F4A.tmp
16.05.2006 17:12 0 JET9F90.tmp
16.05.2006 16:10 0 JETA.tmp
16.05.2006 17:12 0 JETA06C.tmp
16.05.2006 17:12 0 JETA170.tmp
16.05.2006 17:12 0 JETA239.tmp
16.05.2006 17:12 0 JETA2BB.tmp
16.05.2006 17:12 0 JETA333.tmp
16.05.2006 16:10 0 JETA566.tmp
16.05.2006 16:10 0 JETA606.tmp
16.05.2006 16:10 0 JETA6CE.tmp
16.05.2006 16:10 0 JETA73C.tmp
16.05.2006 16:10 0 JETA837.tmp
16.05.2006 16:10 0 JETAA5E.tmp
16.05.2006 16:10 0 JETAC2A.tmp
16.05.2006 16:10 0 JETACC0.tmp
16.05.2006 16:10 0 JETAD2F.tmp
16.05.2006 16:10 0 JETADD9.tmp
16.05.2006 16:10 0 JETAE33.tmp
16.05.2006 16:10 0 JETAE8D.tmp
16.05.2006 17:12 0 JETB.tmp
16.05.2006 16:10 0 JETB00A.tmp
16.05.2006 16:10 0 JETB0B4.tmp
16.05.2006 16:10 0 JETB154.tmp
16.05.2006 16:10 0 JETB1CC.tmp
16.05.2006 17:12 0 JETBCBE.tmp
16.05.2006 16:10 0 JETC.tmp
16.05.2006 16:10 0 JETD04F.tmp
16.05.2006 16:10 0 JETE.tmp
16.05.2006 16:10 0 JETF.tmp
15.06.2006 21:25 872 jinstall.cfg
19.07.2006 21:30 939 jupdate1.5.0.xml
23.07.2006 16:10 27.755 jusched.log
18.07.2006 21:59 0 k0v14.tmp
18.07.2006 22:30 0 k3457.tmp
18.07.2006 00:28 0 k3r17.tmp
18.07.2006 22:26 0 kt24A.tmp
30.06.2006 01:16 0 la547.tmp
09.04.2006 14:44 <DIR> LK49C6
02.08.2005 13:41 2.048 logo copy.bmp
18.07.2006 22:32 0 luf63.tmp
06.07.2006 21:29 47.235 LVCOMSX.LOG
18.07.2006 22:09 0 m0529.tmp
31.03.2006 09:49 3.590 Microsoft Office 2003 Setup(0001).txt
31.03.2006 09:49 208.098 Microsoft Office 2003 Setup(0001)_Task(0001).txt
11.07.2006 13:45 4.128 miunst_.exe
18.07.2006 00:30 0 mnh19.tmp
06.04.2006 09:43 11.230 MPC1.tmp
20.06.2006 14:53 69.120 mpegdll.dll
18.07.2006 22:51 0 n207E.tmp
16.04.2006 11:24 <DIR> Nero.40
16.04.2006 11:24 <DIR> Nero.tmp
12.04.2006 21:22 <DIR> nsa14.tmp
13.04.2006 07:43 <DIR> nsa3.tmp
13.04.2006 15:59 <DIR> nsr3.tmp
12.04.2006 20:58 <DIR> nsrB.tmp
18.07.2006 22:38 0 nye6B.tmp
31.03.2006 09:47 49.290 offcln11.log
18.07.2006 22:23 0 ojj3E.tmp
22.04.2006 22:50 <DIR> omgjlauc
31.03.2006 10:01 <DIR> outlook logging
31.03.2006 23:52 16.384 Perflib_Perfdata_1dc.dat
05.07.2006 17:54 16.384 Perflib_Perfdata_67c.dat
16.04.2006 21:05 16.384 Perflib_Perfdata_b54.dat
19.07.2006 17:24 16 persistent_state
22.07.2006 11:00 <DIR> pft4A~tmp
22.04.2006 22:50 <DIR> pft6.tmp
22.04.2006 22:56 <DIR> pft9.tmp
12.07.2006 18:55 <DIR> pftA.tmp
23.04.2006 00:08 <DIR> pftB.tmp
18.07.2006 00:37 0 pkt22.tmp
12.07.2006 18:54 5.248 plf7.tmp
09.07.2006 17:38 0 qloB4.tmp
18.07.2006 22:04 0 r0f21.tmp
15.07.2006 23:39 0 rdh20.tmp
19.07.2006 17:25 31.283 removefiles.txttemp
18.07.2006 22:35 0 rmj67.tmp
30.06.2006 01:15 0 s9446.tmp
16.07.2004 02:09 117.200 set10.tmp
14.11.2005 02:24 121.064 set11.tmp
14.05.2000 19:23 41.472 set1E.tmp
30.11.2005 12:31 46.080 set2.tmp
14.11.2005 02:24 121.064 set20.tmp
05.10.2000 17:05 165.888 Set26.tmp
22.02.2006 16:08 54.784 Set3.tmp
22.02.2006 16:26 107.512 set4.tmp
14.05.2000 19:23 41.472 Set4B.tmp
16.07.2004 02:09 117.200 set5.tmp
14.05.2000 19:23 41.472 set5D.tmp
10.11.2003 19:55 116.880 set6.tmp
22.07.2005 12:04 168.448 Set7.tmp
10.11.2003 19:55 116.880 set8.tmp
30.05.2001 04:56 167.424 setB.tmp
31.12.2002 14:00 299.520 setb0.tmp
31.12.2002 14:00 230.400 setb1.tmp
31.12.2002 14:00 151.552 setb2.tmp
31.12.2002 14:00 1.050.624 setb3.tmp
31.12.2002 14:00 2.105.344 setb4.tmp
30.05.2001 04:56 167.424 SetC.tmp
30.05.2001 04:56 167.424 SetD.tmp
30.05.2001 04:56 167.424 SetE.tmp
30.05.2001 04:56 167.424 SetF.tmp
21.06.2006 15:25 106 setloc.inf
12.07.2006 18:58 194 setup.log
23.02.2005 13:03 180.838 setup1012.exe
23.02.2005 13:03 180.838 setup1012.VIR
23.02.2005 13:03 180.838 setup1012.VIR000
12.07.2006 18:55 140 setupreg.log
06.07.2006 23:01 <DIR> soniclauc
23.07.2006 13:55 <DIR> SQZ1.tmp
22.07.2006 09:34 <DIR> SQZ14.tmp
16.04.2006 18:59 <DIR> SQZ2.tmp
12.04.2006 21:24 <DIR> SQZ25.tmp
12.04.2006 21:36 <DIR> SQZ28.tmp
12.04.2006 21:11 <DIR> SQZF.tmp
22.04.2006 23:54 <DIR> SsInstall
10.07.2006 09:58 15.007.744 SWL4B.tmp
26.06.2006 16:48 5.242.880 SWL4C.tmp
10.07.2006 01:36 5.767.168 SWL7D.tmp
09.07.2006 03:30 17.072.128 SWL8C.tmp
06.07.2006 01:09 16.285.696 SWLC5.tmp
18.07.2006 22:21 0 t6i35.tmp
18.07.2006 22:22 0 ta13B.tmp
15.07.2006 23:55 0 tf140.tmp
18.07.2006 22:47 0 tl175.tmp
18.07.2006 00:46 0 tlh27.tmp
26.06.2006 20:01 920.068 tmp.xpi
11.01.2002 02:10 10.240 uitools.dll
16.04.2006 15:20 214.266 uni22.tmp
31.03.2006 13:26 65.536 UninstallRC-4476822.dll
18.07.2006 22:50 0 uz57B.tmp
18.07.2006 22:39 0 v5z6E.tmp
15.07.2006 23:38 0 v6d1F.tmp
08.04.2006 11:35 <DIR> VBE
18.07.2006 22:01 0 vfo16.tmp
18.07.2006 00:33 0 vfv1E.tmp
29.06.2006 14:11 0 vgc13.tmp
15.07.2006 23:56 0 w6b45.tmp
15.07.2006 23:56 0 w7p48.tmp
12.06.2006 23:58 283 wahtmltmp00.htm
17.07.2006 23:46 0 wco5.tmp
13.06.2006 19:34 2.189 wecerr.txt
18.07.2006 00:44 0 wgc26.tmp
18.07.2006 00:30 0 wgn1A.tmp
11.07.2006 13:09 997.888 WM2006-1.xls
05.07.2006 23:19 1.326.080 WM2006.xls
19.07.2006 14:24 0 WMM7D.tmp
18.07.2006 22:30 0 x1y5A.tmp
15.07.2006 23:50 0 x8337.tmp
18.07.2006 22:02 0 xjz1B.tmp
15.07.2006 23:54 0 xqx3E.tmp
18.07.2006 22:56 0 yhd83.tmp
18.07.2006 21:58 0 yz713.tmp
18.07.2006 22:12 0 z212C.tmp
09.04.2006 10:19 <DIR> _is10
28.04.2006 21:08 <DIR> _is11
28.04.2006 21:08 <DIR> _is26
28.04.2006 21:08 <DIR> _is35
19.07.2006 11:30 <DIR> _isC
16.07.2006 13:05 234 _isdelet.ini
12.07.2006 19:00 <DIR> _ISTMP1.DIR
12.07.2006 19:00 <DIR> _ISTMP2.DIR
22.04.2006 23:47 <DIR> {067D27FF-720F-421F-80E9-CF724DC5E072}
13.05.2006 13:35 <DIR> {81165DB6-79FC-46A7-B88C-EBD0EEBE02E1}
31.03.2006 09:45 0 ~191.tmp
19.06.2006 01:10 0 ~1E.tmp
19.06.2006 01:32 0 ~24.tmp
19.06.2006 01:40 0 ~27.tmp
31.03.2006 12:34 20 ~58.tmp
16.06.2006 09:28 0 ~73.tmp
19.06.2006 02:43 0 ~D.tmp
16.05.2006 14:53 512 ~DF2017.tmp
22.06.2006 11:05 16.384 ~DF2984.tmp
08.05.2006 18:49 32.768 ~DF2D86.tmp
12.04.2006 21:30 98.304 ~DF3B02.tmp
08.05.2006 18:49 32.768 ~DF3C91.tmp
31.03.2006 19:56 16.384 ~DF4284.tmp
12.04.2006 21:29 98.304 ~DF4525.tmp
22.05.2006 22:22 32.768 ~DF46B8.tmp
20.05.2006 11:03 16.384 ~DF4832.tmp
20.05.2006 11:03 32.768 ~DF4844.tmp
15.06.2006 16:20 32.768 ~DF5843.tmp
01.04.2006 11:55 16.384 ~DF5A5F.tmp
18.06.2006 16:47 32.768 ~DF604A.tmp
25.06.2006 19:33 16.384 ~DF64BC.tmp
15.06.2006 16:20 32.768 ~DF677A.tmp
18.06.2006 16:47 32.768 ~DF6D51.tmp
14.04.2006 23:00 98.304 ~DF6F7A.tmp
29.06.2006 22:57 512 ~DF75B.tmp
01.04.2006 00:25 16.384 ~DF7C31.tmp
13.06.2006 22:55 32.768 ~DF8663.tmp
02.04.2006 00:31 16.384 ~DF8D39.tmp
29.06.2006 23:31 512 ~DF914C.tmp
01.04.2006 00:06 16.384 ~DF9B15.tmp
18.07.2006 15:42 49.152 ~DF9B94.tmp
25.06.2006 19:31 32.768 ~DF9C7B.tmp
01.04.2006 09:36 16.384 ~DFA9D3.tmp
13.06.2006 22:55 512 ~DFADE2.tmp
01.04.2006 18:11 16.384 ~DFCE01.tmp
22.05.2006 22:20 32.768 ~DFE54A.tmp
16.05.2006 15:13 512 ~DFF32.tmp
22.05.2006 22:20 32.768 ~DFF6C9.tmp
23.07.2006 12:06 73.276 ~e5.0001
29.06.2006 22:57 16.384 ~WRF0000.tmp
29.06.2006 23:31 34.304 ~WRS0002.tmp
362 Datei(en) 129.011.882 Bytes
43 Verzeichnis(se), 2.324.910.080 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\WINDOWS\Temp

23.07.2006 16:05 <DIR> .
23.07.2006 16:05 <DIR> ..
23.07.2006 00:59 24.246 $_2341234.TMP
23.07.2006 16:05 <DIR> 01083070
31.03.2006 13:28 442 apub2
06.07.2006 21:34 1.272 CamServr.log
06.07.2006 21:34 121.275 CamWizrd.log
19.06.2006 00:08 718 Instmed.log
19.06.2006 00:08 888 InstVid.log
06.07.2006 21:34 31.072 LgDSetup.txt
01.04.2006 11:51 <DIR> tmp000067a2
03.04.2006 00:38 0 Upd2.tmp
8 Datei(en) 179.913 Bytes
4 Verzeichnis(se), 2.324.918.272 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\Programme

23.07.2006 14:41 <DIR> .
23.07.2006 14:41 <DIR> ..
31.03.2006 09:45 <DIR> Adobe
16.04.2006 11:23 <DIR> Ahead
13.05.2006 13:30 <DIR> Akademische Arbeitsgemeinschaft
04.07.2006 16:55 <DIR> Alcohol Soft
17.04.2006 12:31 <DIR> Allok AVI to DVD SVCD VCD Converter
06.05.2006 10:03 <DIR> AntiVir PersonalEdition Classic
16.04.2006 20:00 <DIR> Ashampoo
21.03.2005 20:30 106.496 atl71.dll
31.03.2006 09:46 <DIR> Avant Browser
31.03.2006 09:34 <DIR> B5APPZ
23.07.2006 13:53 <DIR> CleanUp!
31.03.2006 09:26 <DIR> ComPlus Applications
08.04.2006 16:57 <DIR> CyberLink
08.04.2006 15:12 <DIR> DTV
23.07.2006 16:06 <DIR> eMule
23.07.2006 14:42 <DIR> F-Secure Blacklight
02.07.2006 20:35 <DIR> FlashFXP
23.07.2006 01:00 <DIR> Gemeinsame Dateien
15.04.2006 22:04 <DIR> Google
18.04.2006 00:14 <DIR> Groáer Falk Reiseplaner 2005
23.07.2006 12:00 <DIR> HiJackThis
31.03.2006 12:42 <DIR> Intel
31.03.2006 09:31 <DIR> Internet Explorer
31.03.2006 09:47 <DIR> irfanview
15.06.2006 21:27 <DIR> Java
31.03.2006 09:46 <DIR> K-Lite Codec Pack
31.03.2006 13:12 <DIR> Launch Manager
23.04.2006 12:29 <DIR> Lavasoft
23.04.2006 12:31 <DIR> Lavasoft RegHance
06.07.2006 21:55 <DIR> Logitech
21.03.2005 20:30 1.060.864 mfc71.dll
31.03.2006 09:47 <DIR> Microsoft Baseline Security Analyzer
31.03.2006 09:31 <DIR> microsoft frontpage
31.03.2006 09:48 <DIR> Microsoft Office
31.03.2006 09:48 <DIR> Microsoft Works
31.03.2006 09:48 <DIR> Microsoft.NET
31.03.2006 09:27 <DIR> Movie Maker
23.07.2006 16:07 <DIR> Mozilla Firefox
31.03.2006 09:25 <DIR> MSN
31.03.2006 09:25 <DIR> MSN Gaming Zone
21.03.2005 20:30 499.712 msvcp71.dll
21.03.2005 20:30 348.160 msvcr71.dll
31.03.2006 09:28 <DIR> NetMeeting
23.07.2006 01:00 <DIR> Network Monitor
31.03.2006 09:28 <DIR> Outlook Express
19.07.2006 11:45 <DIR> Panasonic
19.07.2006 19:21 <DIR> Poker Superstars II
17.07.2006 10:45 <DIR> PokerStars.NET
14.04.2006 16:07 <DIR> QuickTime
12.04.2006 21:28 <DIR> ReflexiveArcade
15.07.2006 17:28 <DIR> SFT Loader
31.03.2006 09:45 <DIR> Smart Projects
12.07.2006 19:00 <DIR> Sony
09.04.2006 10:20 <DIR> Sony Ericsson
31.03.2006 21:11 <DIR> SpeedProject
31.03.2006 09:42 <DIR> Sysinternals
01.04.2006 00:33 <DIR> VideoLAN
31.03.2006 22:17 <DIR> Winamp
31.03.2006 21:23 <DIR> Windows Media Player
31.03.2006 09:25 <DIR> Windows NT
01.04.2006 00:02 <DIR> WinRAR
31.12.2002 14:00 4.153 Win_XP_SP2_INFO.txt
31.03.2006 09:31 <DIR> xerox
23.07.2006 11:24 <DIR> XPcleanV7
5 Datei(en) 2.019.385 Bytes
61 Verzeichnis(se), 2.324.918.272 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

15.06.2006 16:12 <DIR> .bittorrent
31.03.2006 17:24 <DIR> Adobe
31.03.2006 17:24 <DIR> AdobeUM
26.06.2006 12:52 <DIR> Avant Browser
15.06.2006 22:53 <DIR> Azureus
31.03.2006 13:33 <DIR> F-Secure
02.07.2006 16:33 <DIR> FlashFXP
12.04.2006 11:59 <DIR> funkitron
15.04.2006 22:04 <DIR> Google
01.04.2006 00:07 <DIR> Help
22.07.2006 09:35 <DIR> Identities
23.07.2006 00:59 1.425.873 Install.dat
23.04.2006 12:29 <DIR> Lavasoft
09.04.2006 14:32 <DIR> Macromedia
16.06.2006 20:36 <DIR> Meine Die Schlacht um Mittelerde-Dateien
25.06.2006 11:41 <DIR> Meine Die Schlacht um MittelerdeT II-Dateien
26.06.2006 13:03 <DIR> Mozilla
22.04.2006 23:02 <DIR> Sony Corporation
31.03.2006 21:12 <DIR> SpeedProject
16.06.2006 09:54 <DIR> Sun
01.04.2006 00:20 <DIR> vlc
22.07.2006 09:27 <DIR> Zylom
1 Datei(en) 1.425.873 Bytes
21 Verzeichnis(se), 2.324.914.176 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 141A-70A5

Verzeichnis von C:\Programme\Gemeinsame Dateien

23.07.2006 01:00 <DIR> .
23.07.2006 01:00 <DIR> ..
31.03.2006 17:24 <DIR> Adobe
16.04.2006 11:20 <DIR> Ahead
31.03.2006 09:48 <DIR> DESIGNER
31.03.2006 09:28 <DIR> Dienste
01.04.2006 13:11 <DIR> G DATA
17.04.2006 09:44 <DIR> GIS
15.04.2006 22:04 <DIR> InstallShield
15.06.2006 21:26 <DIR> Java
06.07.2006 21:34 <DIR> Logitech
17.04.2006 09:45 <DIR> Mapserv
23.07.2006 07:15 <DIR> mfio
31.03.2006 09:49 <DIR> Microsoft Shared
31.03.2006 09:28 <DIR> MSSoap
31.03.2006 10:19 <DIR> ODBC
19.07.2006 11:46 <DIR> Panasonic
22.04.2006 23:47 <DIR> Sony Shared
31.03.2006 10:19 <DIR> SpeechEngines
09.04.2006 14:44 <DIR> SWF Studio
31.03.2006 09:47 <DIR> System
0 Datei(en) 0 Bytes
21 Verzeichnis(se), 2.324.914.176 Bytes frei

zu 3:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 23.07.2006 16:20:34 for strings:
; 'dxtpdh'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxtpdh.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxtpdh.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000]
"Service"="dxtpdh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH\0000\Control]
"ActiveService"="dxtpdh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh]
; Contents of value:
; \??\c:\windows\system32\dxtpdh.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh\Enum]
"0"="Root\\LEGACY_DXTPDH\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdx]
; Contents of value:
; \??\c:\windows\system32\dxtpdh.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxtpdh.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxtpdh.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH\0000]
"Service"="dxtpdh"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh]
; Contents of value:
; \??\c:\windows\system32\dxtpdh.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdx]
; Contents of value:
; \??\c:\windows\system32\dxtpdh.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxtpdh.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxtpdh.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000]
"Service"="dxtpdh"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH\0000\Control]
"ActiveService"="dxtpdh"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh]
; Contents of value:
; \??\c:\windows\system32\dxtpdh.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh\Enum]
"0"="Root\\LEGACY_DXTPDH\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdx]
; Contents of value:
; \??\c:\windows\system32\dxtpdh.sys
"ImagePath"=hex(2):5c,3f,3f,5c,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,\
6d,33,32,5c,64,78,74,70,64,68,2e,73,79,73,00

; End Of The Log...


@Gastaccount

Habe ich gesehen, is krass




Ist eigentlich auch zu sehen wann ich mir den Eingefangen habe???
Dieser Beitrag wurde am 23.07.2006 um 16:57 Uhr von AxelFolie editiert.
Seitenanfang Seitenende
23.07.2006, 18:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor

Files to delete:

C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\$b17a2e8.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\a.exe
C:\WINDOWS\System32\clcbt.exe
C:\WINDOWS\system32\dxtpdh.sys
C:\WINDOWS\system32\dxtpdx.dll
C:\WINDOWS\system32\ms87.dat
C:\WINDOWS\system32\klgcptini.dat
C:\WINDOWS\system32\qz.dll
C:\WINDOWS\system32\qz.sys
C:\winstall.exe
C:\uniq
C:\WINDOWS\system32\klo5.sys
C:\WINDOWS\system32\ps.a3d
C:\WINDOWS\system32\d3d9caps.dat
C:\WINDOWS\system32\basesrv4.exe
C:\WINDOWS\system32\3ivx2501.exe
C:\WINDOWS\system32\atmlib87.exe
C:\WINDOWS\system32\taskmgn.exe
C:\WINDOWS\system32\gncfodmk.exe
C:\WINDOWS\system32\winrknj
C:\WINDOWS\system32\batmeter.exe
C:\WINDOWS\system32\atmlib03.exe
C:\WINDOWS\system32\capesnpn.exe
C:\WINDOWS\system32\atmpvcno.exe
C:\WINDOWS\system32\dxtpdx.dll
C:\WINDOWS\inetloader.dll
C:\WINDOWS\keyboard1.dat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was erscheint + noch mal das log von Blacklight

----------------------------------------------------------------------------

arbeite smitfraud.fix ab (Option 1 und 2 - lasse auch die registry mitreinigen, poste beide scanreporte)
http://virus-protect.org/artikel/tools/smitfrautfix.html

------------------------------------------------------------------------------

desinstalliere: 23.07.2006 01:00 -> C:\Programme\Network Monitor

-----------------------------------------------------------------------------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32\Searchx.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O2 - BHO: WeeklyExecuter Class - {590FFB84-6A29-4797-9C0E-B15DF2C4CDCB} - C:\WINDOWS\inetloader.dll

O4 - HKLM\..\Run: [ÿ_zskJIB[YM`] C:\WINDOWS\system32\_zskdmwinYMLVFLPE\`MY[BIJ.exe
O4 - HKLM\..\Run: [0018b339a250] C:\WINDOWS\system32\atmlib87.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O20 - Winlogon Notify: dxtpdx - C:\WINDOWS\SYSTEM32\dxtpdx.dll
PC neustarten

**
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html
wende an:
Cleanup repair -- TuneUp Diskcleaner
Cleanup repair -- Registry Cleaner

**
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

**
poste das log von Winpfind
http://virus-protect.org/lspfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2006, 19:44
Moderator

Beiträge: 7805
#10 So, bin wieder zu Hause!;)
Also du hast dir zu dem Zeitpunkt diese Malware eingefangen:

23.07.2006 00:58 8.785 a.exe


Komischerweise haette dein Antivir den blocken muessen:
AntiVir 6.35.0.24 07.22.2006 TR/Crypt.F.Gen

Mach mit der Datei mal einen Kontrollscan. Falls du mit Avenger schon gearbeitet haben solltest, schaue unter c:\avenger nach. Dort saollte sich eine ZIP Datei befinden. SChicke diese auch an virus@protecus.de obwohl ich eigentlich alles schon gesehen haben sollte, was dieser Trojaner herunterlaedt. Aber das aendert sich sehr schnell und ist auch systemabhaengig.

Eine Seite, bei der man sich diesen Trojaner holt ist u.a. auf der Seite ms*rack.xxx

Je nachdem, wenn und wo du dich infiziert hast, kann es auch sein, das da noch mehr rootkits sind, die nur Gmer derzeit findet.

Also, du hast ja nun gesehen, was der Trojaner alles geklaut hat und weiss was zu tun ist!! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.07.2006, 19:58
...neu hier

Themenstarter

Beiträge: 6
#11 Wow, ihr habt hier meine Hochachtung. Ist das euer Hobby oder Beruf???
Ich arbeite mal die ersten drei Log's ab.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xlcyvsyk

*******************

Script file located at: \??\C:\WINDOWS\system32\kuvpftvr.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\Network Monitor\netmon.exe deleted successfully.
File C:\WINDOWS\uninstall_nmon.vbs deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\$b17a2e8.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\a.exe deleted successfully.


File C:\WINDOWS\System32\clcbt.exe not found!
Deletion of file C:\WINDOWS\System32\clcbt.exe failed!

Could not process line:
C:\WINDOWS\System32\clcbt.exe
Status: 0xc0000034

File C:\WINDOWS\system32\dxtpdh.sys deleted successfully.
File C:\WINDOWS\system32\dxtpdx.dll deleted successfully.
File C:\WINDOWS\system32\ms87.dat deleted successfully.
File C:\WINDOWS\system32\klgcptini.dat deleted successfully.
File C:\WINDOWS\system32\qz.dll deleted successfully.
File C:\WINDOWS\system32\qz.sys deleted successfully.
File C:\winstall.exe deleted successfully.
File C:\uniq deleted successfully.
File C:\WINDOWS\system32\klo5.sys deleted successfully.
File C:\WINDOWS\system32\ps.a3d deleted successfully.
File C:\WINDOWS\system32\d3d9caps.dat deleted successfully.
File C:\WINDOWS\system32\basesrv4.exe deleted successfully.
File C:\WINDOWS\system32\3ivx2501.exe deleted successfully.
File C:\WINDOWS\system32\atmlib87.exe deleted successfully.
File C:\WINDOWS\system32\taskmgn.exe deleted successfully.
File C:\WINDOWS\system32\gncfodmk.exe deleted successfully.
File C:\WINDOWS\system32\winrknj deleted successfully.
File C:\WINDOWS\system32\batmeter.exe deleted successfully.
File C:\WINDOWS\system32\atmlib03.exe deleted successfully.
File C:\WINDOWS\system32\capesnpn.exe deleted successfully.
File C:\WINDOWS\system32\atmpvcno.exe deleted successfully.


File C:\WINDOWS\system32\dxtpdx.dll not found!
Deletion of file C:\WINDOWS\system32\dxtpdx.dll failed!

Could not process line:
C:\WINDOWS\system32\dxtpdx.dll
Status: 0xc0000034

File C:\WINDOWS\inetloader.dll deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


SmitFraudFix v2.74

Scan done at 19:45:36,24, 23.07.2006
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


SmitFraudFix v2.74

Scan done at 19:48:46,42, 23.07.2006
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Rest folgt gleich
Seitenanfang Seitenende
23.07.2006, 20:25
Moderator

Beiträge: 7805
#12 Ich poste mal, damit du nicht in die Doppelpostsperre laeufst. Denke daran, die avenger.zip an virus@protecus.de zu schicken.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.07.2006, 21:10
...neu hier

Themenstarter

Beiträge: 6
#13 Soooooooooooo, endlich fertig, nur bei dem letzten Progi bekamm ich keine Log. Also die Fehlermeldung kommt nicht aber dafür eine, das mein Adobe Gamma Loader.exe einen Trojaner beherberg "TR/VB.ami.2" aber das ist ein anderes Thema.


@raman

Mail ist raus

Thx

@Sabina

Der TR taucht nicht mehr auf, ich bin dir zu 1000 Dank verpflichtet. Vielen, vielen Dank

Eine letzte Frage habe ich noch, hoffe ich ;-).

Ist AntiVir eine gute Lösung? Und welche SicherheitProgis würden denn mit AntiVir sehr gut harmonieren?
Seitenanfang Seitenende
23.07.2006, 21:27
Moderator

Beiträge: 7805
#14 Ich wollte bei der Adobe Meldung erst auf fehlalarm tippen, aber anscheinend wird die von dem Trojaner ersetzt:
Complete scanning result of "Adobe_Gamma_Loader.exe", received in VirusTotal at 06.08.2006, 08:57:07 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.37 06.08.2006 TR/VB.ami.2
Authentium 4.93.8 06.08.2006 no virus found
Avast 4.7.844.0 06.06.2006 no virus found
AVG 386 06.07.2006 no virus found
BitDefender 7.2 06.08.2006 Trojan.Clicker.VB.EG
CAT-QuickHeal 8.00 06.07.2006 no virus found
ClamAV devel-20060426 06.07.2006 no virus found
DrWeb 4.33 06.07.2006 Trojan.Click.1234
eTrust-InoculateIT 23.72.31 06.07.2006 no virus found
eTrust-Vet 12.6.2248 06.08.2006 no virus found
Ewido 3.5 06.07.2006 Trojan.VB.ami
Fortinet 2.77.0.0 06.08.2006 Adware/AdClicker
F-Prot 3.16f 06.07.2006 no virus found
Ikarus 0.2.65.0 06.07.2006 no virus found
Kaspersky 4.0.2.24 06.08.2006 Trojan.Win32.VB.ami
McAfee 4779 06.07.2006 AdClicker-C.gen
Microsoft 1.1441 06.08.2006 no virus found
NOD32v2 1.1585 06.07.2006 Win32/TrojanClicker.VB.NAW
Norman 5.90.17 06.07.2006 no virus found
Panda 9.0.0.4 06.07.2006 Trj/Clicker.QL
Sophos 4.06.0 06.08.2006 Troj/AdClick-CS
Symantec 8.0 06.08.2006 no virus found
TheHacker 5.9.8.156 06.08.2006 Trojan/VB.ami
UNA 1.83 06.06.2006 no virus found
VBA32 3.11.0 06.07.2006 Trojan.Win32.VB.ami


Achso, Antivir ist ganz gut auch mit aktivierter Heuristik. Leider fehlt die Spy/Adware Erkennung, die gibt es nur bei der Premium und aufwaerts.

Ansonsten ist EWIDO ein angemessener zusatz fuer Antivir.

Nutz auch einmal GMER: http://virus-protect.org/artikel/tools/gmer.html

NAchtrag, Kaspersky AV Version 6 ist derzeit das mass der Dinge (IMO)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.07.2006, 23:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 AxelFolie

wieso erscheinen im Avenger-Log nicht die registryeintraege, die zu loeschen waren ????

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dxtpdh.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dxtpdh
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DXTPDH
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A394E835-C8D6-4B4B-884B-D2709059F3BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3877C2CD-F137-4144-BDB2-0A811492F920}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Network Monitor
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Monitor
----------------------------------------------------------

1.
fixe mit dem HijackThis:

O4 - Startup: Adobe Gamma Loader.exe

PC neustarten

2.
loeschen:
Adobe Gamma Loader.exe

3.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

wie raman schon geschrieben hatte: ;)
4.
Bitte nutze Gmer http://www.gmer.net/files.php . Starte es und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit nein beantworten, auf den Reiter rootkit gehen, wiederum die Frage mit nein beantworten und mit Hilfe von copy den Bericht hier einfuegen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser Beendet, waehle Copy und fuege den bericht ein.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »