Home » Viren, Trojaner & Malware Forum » vturo.dll - Virtumonde - Prob.geloest » Themenansicht

vturo.dll - Virtumonde - Prob.geloest

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.07.2006, 17:59
Tobyx1
zu Gast
#1 hallo erstmal

ich hoffe ihr könnt mir auch bei meinem prob helfen ....


Logfile of HijackThis v1.99.1
Scan saved at 17:43:22, on 24.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ismon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Norman\Bin\Zanda.exe
C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Schönherr Personal Firewall\bin\sppfw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Toby\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/8d1745a01cf6b6ca31f7adfaa8a34f63_35.exe
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiVirusPro2006FreeInstall_de.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab?208767ecc5d9f31c5c47
a19f2fef898a15ce15cbe860a04894cee057661290c3a68cdf0ff8847d2387663283798
6410c962c9374da90403ae3ed4
921eb1e2d71a8e6f10f48c4:d85e8a99337c1cb7f46c5aa8b2e9db8e

O17 - HKLM\System\CCS\Services\Tcpip\..\{D4BF12EB-24EF-4800-AE16-A8F9B468242B}: NameServer = 62.220.18.8 62.72.64.241
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe


ewido hat mich drauf aufmerksam gemacht konnte es aber nicht *vollständig* entfernen ... kommt also bei jedem neustart sowie bei jedem öffnen vom IE

habe festplatten mit norman gescanned ... er hat das prob auch erkannt und auch entfernt. nach dem neustart war es aber wieder bei ewido zu finden

Security Task Manager sagt mir das die datei potenziell gefählich ist .. kann sie aber nicht löschen *verschieben*

also wenn ihr wisst wie ich das nervende prob wieder loswerde ..... bin für jede hilfe dankbar

lg
Toby
Seitenanfang Seitenende
25.07.2006, 20:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.07.2006, 02:07
Tobyx1
Member

Themenstarter

Beiträge: 13
#3 oki dann hier erstmal die neue hijack logfile *nach dem rumpfuschen*

Logfile of HijackThis v1.99.1
Scan saved at 02:05:18, on 28.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Norman\bin\ZLH.EXE
C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Toby\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ZSScheduler] RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4BF12EB-24EF-4800-AE16-A8F9B468242B}: NameServer = 62.220.18.8 62.72.64.241
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe


Clean up durchgeführt


datfind.bat logfiles

1.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\system32

28.07.2006 02:00 569.083 orutv.ini2
28.07.2006 01:55 41.984 ixt0.dll
28.07.2006 01:55 4.286 ot.ico
28.07.2006 01:55 4.286 ts.ico
28.07.2006 01:55 8.760 isnotify.exe
28.07.2006 01:55 61.440 issearch.exe
28.07.2006 01:53 14.336 ismon.exe
28.07.2006 01:53 13.646 wpa.dbl
26.07.2006 11:55 113.680 ishost.exe
26.07.2006 11:55 38.925 __delete_on_reboot__jkkhfgd.dll
26.07.2006 11:54 65.556 kecxhrey.exe
26.07.2006 11:54 557.127 orutv.bak2
26.07.2006 01:43 65.556 vyysjdwe.exe
24.07.2006 22:53 65.556 feinatoh.exe
24.07.2006 22:52 143 mcrh.tmp
24.07.2006 22:20 0 asfiles.txt
24.07.2006 22:17 2.550 Uninstall.ico
24.07.2006 22:17 1.406 Help.ico
24.07.2006 22:17 30.590 pavas.ico
24.07.2006 21:40 131.072 datestamp.dll
24.07.2006 15:53 568.284 orutv.tmp
24.07.2006 15:53 568.284 orutv.ini
23.07.2006 18:27 562.721 orutv.bak1
23.07.2006 18:26 573.492 vturo.dll
23.07.2006 18:15 15.872 winzlo32.dll
12.07.2006 03:19 401.064 perfh009.dat
12.07.2006 03:19 74.996 perfc007.dat
12.07.2006 03:19 415.470 perfh007.dat
12.07.2006 03:19 62.344 perfc009.dat
12.07.2006 03:19 966.250 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 402.736 WgaLogon.dll
23.05.2006 17:25 285.488 WgaTray.exe
22.05.2006 14:17 251 spupdwxp.log
22.05.2006 14:16 91.888 FNTCACHE.DAT
22.05.2006 11:00 100 LuResult.txt
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 148.480 dnsapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll

2.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\DOKUME~1\Toby\LOKALE~1\Temp


3.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS

28.07.2006 01:47 1.136.880 WindowsUpdate.log
27.07.2006 20:43 0 0.log
27.07.2006 20:43 2.048 bootstat.dat
27.07.2006 13:24 32.606 SchedLgU.Txt
26.07.2006 01:38 1.078.482 ntbtlog.txt
26.07.2006 01:11 187.911 setupact.log
24.07.2006 22:20 546 win.ini
24.07.2006 22:18 54.411 setupapi.log
24.07.2006 15:57 134.174 dp2_log.txt
23.07.2006 19:49 60.416 ALCFDRTM.VER
20.07.2006 16:26 89.928 wmsetup.log
14.07.2006 06:55 50 wiaservc.log
14.07.2006 06:55 216 wiadebug.log
13.07.2006 14:02 151 PhotoSnapViewer.INI
12.07.2006 03:01 149.271 comsetup.log
12.07.2006 03:01 93.341 iis6.log
12.07.2006 03:01 234.150 tsoc.log
12.07.2006 03:01 11.833 KB917159.log
12.07.2006 03:01 18.166 ocmsn.log
12.07.2006 03:01 1.374 imsins.log
12.07.2006 03:01 89.608 ntdtcsetup.log
12.07.2006 03:01 30.258 msgsocm.log
12.07.2006 03:01 307.866 ocgen.log


4.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\

28.07.2006 02:02 0 sys.txt
28.07.2006 02:01 8.984 system.txt
28.07.2006 02:01 132 systemtemp.txt
28.07.2006 02:00 91.029 system32.txt
27.07.2006 20:43 1.610.612.736 pagefile.sys
26.07.2006 12:46 749 VundoFix.txt
26.07.2006 01:07 3.656 smitfiles.txt
22.05.2006 14:05 211 boot.ini
22.05.2006 14:01 47.564 NTDETECT.COM
22.05.2006 14:01 251.184 ntldr
22.05.2006 12:21 80 FilterLog.log
05.05.2006 23:17 0 IO.SYS
05.05.2006 23:17 0 CONFIG.SYS
05.05.2006 23:17 0 AUTOEXEC.BAT
05.05.2006 23:17 0 MSDOS.SYS
02.04.2003 14:00 4.952 bootfont.bin
16 Datei(en) 1.611.021.277 Bytes
0 Verzeichnis(se), 51.657.043.968 Bytes frei


und das vom echo

10)DPF????
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
27.03.2006 13:00 5.019 swflash.inf
29.04.2005 17:24 155.648 zylomgamesplayer.dll
25.03.2005 17:17 244 ZylomGamesPlayer.inf
5 Datei(en) 296.616 Bytes

Anzahl der angezeigten Dateien:
5 Datei(en) 296.616 Bytes
0 Verzeichnis(se), 51.657.043.968 Bytes frei

so hoffe mal das ist alles richtig so

nochmals danke ;)
Dieser Beitrag wurde am 28.07.2006 um 02:17 Uhr von Tobyx1 editiert.
Seitenanfang Seitenende
28.07.2006, 02:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\Programme\Toolbar888\ToolBar888.dll
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\__delete_on_reboot__M_y_T_o_o_l_B_a_r_._d_l_l_
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe
C:\WINDOWS\system32\orutv.ini2
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\__delete_on_reboot__jkkhfgd.dll
C:\WINDOWS\system32\kecxhrey.exe
C:\WINDOWS\system32\orutv.bak2
C:\WINDOWS\system32\vyysjdwe.exe
C:\WINDOWS\system32\feinatoh.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\asfiles.txt
C:\WINDOWS\system32\datestamp.dll
C:\WINDOWS\system32\orutv.tmp
C:\WINDOWS\system32\orutv.ini
C:\WINDOWS\system32\orutv.bak1
C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\winzlo32.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint

**
öffne das HijackThis -- Button "scan" -- vor die -Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/8d1745a01cf6b6ca31f7adfaa8a34f63_35.exe

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiVirusPro2006FreeInstall_de.cab

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab?208767ecc5d9f31c5c47
a19f2fef898a15ce15cbe860a04894cee057661290c3a68cdf0ff8847d2387663283798
6410c962c9374da90403ae3ed4
921eb1e2d71a8e6f10f48c4:d85e8a99337c1cb7f46c5aa8b2e9db8e
**
arbeite smitfraudfix ab (Option 1 und 2 - lasse auch die Registry mitreinigen- poste die zwei logs)
http://virus-protect.org/artikel/tools/smitfrautfix.html

**
poste das log von winpfind
http://virus-protect.org/winpfind.html
**
poste noch mal das erste log von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.07.2006, 02:38
Tobyx1
Member

Themenstarter

Beiträge: 13
#5 Avenger logfile

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\chjyfopf

*******************

Script file located at: \??\C:\WINDOWS\jdbqjqke.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\Programme\Toolbar888\ToolBar888.dll not found!
Deletion of file C:\Programme\Toolbar888\ToolBar888.dll failed!

Could not process line:
C:\Programme\Toolbar888\ToolBar888.dll
Status: 0xc0000034



File C:\Programme\ToolBar888\MyToolBar.dll not found!
Deletion of file C:\Programme\ToolBar888\MyToolBar.dll failed!

Could not process line:
C:\Programme\ToolBar888\MyToolBar.dll
Status: 0xc0000034



File C:\Programme\ToolBar888\__delete_on_reboot__M_y_T_o_o_l_B_a_r_._d_l_l_ not found!
Deletion of file C:\Programme\ToolBar888\__delete_on_reboot__M_y_T_o_o_l_B_a_r_._d_l_l_ failed!

Could not process line:
C:\Programme\ToolBar888\__delete_on_reboot__M_y_T_o_o_l_B_a_r_._d_l_l_
Status: 0xc0000034

File C:\Programme\ToolBar888\Activate.exe deleted successfully.
File C:\Programme\ToolBar888\Uninst.exe deleted successfully.
File C:\WINDOWS\system32\orutv.ini2 deleted successfully.
File C:\WINDOWS\system32\ixt0.dll deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ts.ico deleted successfully.
File C:\WINDOWS\system32\isnotify.exe deleted successfully.
File C:\WINDOWS\system32\issearch.exe deleted successfully.
File C:\WINDOWS\system32\ismon.exe deleted successfully.
File C:\WINDOWS\system32\ishost.exe deleted successfully.
File C:\WINDOWS\system32\__delete_on_reboot__jkkhfgd.dll deleted successfully.
File C:\WINDOWS\system32\kecxhrey.exe deleted successfully.
File C:\WINDOWS\system32\orutv.bak2 deleted successfully.
File C:\WINDOWS\system32\vyysjdwe.exe deleted successfully.
File C:\WINDOWS\system32\feinatoh.exe deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\asfiles.txt deleted successfully.
File C:\WINDOWS\system32\datestamp.dll deleted successfully.
File C:\WINDOWS\system32\orutv.tmp deleted successfully.
File C:\WINDOWS\system32\orutv.ini deleted successfully.
File C:\WINDOWS\system32\orutv.bak1 deleted successfully.
File C:\WINDOWS\system32\vturo.dll deleted successfully.
File C:\WINDOWS\system32\winzlo32.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Zitat

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/8d1745a01cf6b6ca31f7adfaa8a34f63_35.exe

O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiVirusPro2006FreeInstall_de.cab

O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab?208767ecc5d9f31c5c47
a19f2fef898a15ce15cbe860a04894cee057661290c3a68cdf0ff8847d2387663283798
6410c962c9374da90403ae3ed4
921eb1e2d71a8e6f10f48c4:d85e8a99337c1cb7f46c5aa8b2e9db8e
waren bereits gelöscht

SmitfraudFix
Log 1

SmitFraudFix v2.76

Scan done at 2:51:16,37, 28.07.2006
Run from C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\components\flx?.dll FOUND !
C:\WINDOWS\system32\components\flx??.dll FOUND !
C:\WINDOWS\system32\components\flx???.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Toby\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\Toby\STARTM~1\SpyQuake2.com 2.3.lnk FOUND !
C:\DOKUME~1\Toby\STARTM~1\PROGRA~1\SpyQuake2.com FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Toby\FAVORI~1

C:\DOKUME~1\Toby\FAVORI~1\Antivirus Test Online.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\Toby\Desktop\SpyQuake2.com.lnk FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyQuake2.com\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Log 2

SmitFraudFix v2.76

Scan done at 2:57:24,42, 28.07.2006
Run from C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\components\flx?.dll Deleted
C:\DOKUME~1\Toby\Desktop\SpyQuake2.com.lnk Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOKUME~1\Toby\FAVORI~1\Antivirus Test Online.url Deleted
C:\DOKUME~1\Toby\STARTM~1\SpyQuake2.com 2.3.lnk Deleted
C:\DOKUME~1\Toby\STARTM~1\PROGRA~1\SpyQuake2.com Deleted
C:\Programme\SpyQuake2.com\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

das WinFind log

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 02.04.2003 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 23.05.2006 17:26:00 579888 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
aspack 07.07.2006 03:21:46 6757792 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 27.04.2006 17:49:30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe
UPX! 09.01.2006 10:36:04 42496 C:\WINDOWS\SYSTEM32\swreg.exe
UPX! 09.01.2006 10:36:06 40960 C:\WINDOWS\SYSTEM32\swsc.exe
winsync 02.04.2003 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
PTech 23.05.2006 17:25:52 285488 C:\WINDOWS\SYSTEM32\WgaTray.exe
UPX! 28.12.2005 23:31:26 57864 C:\WINDOWS\SYSTEM32\__delete_on_reboot__pmnqguh.dll

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
28.07.2006 03:01:26 S 2048 C:\WINDOWS\bootstat.dat
29.05.2006 15:43:08 RHS 227 C:\WINDOWS\assembly\Desktop.ini
29.05.2006 15:47:00 RH 0 C:\WINDOWS\assembly\PublisherPolicy.tme
29.05.2006 15:47:00 RH 0 C:\WINDOWS\assembly\pubpol1.dat
29.05.2006 16:15:30 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1c.dat
20.06.2006 01:09:56 H 8628 C:\WINDOWS\Help\netcfg.GID
29.05.2006 18:16:04 S 23751 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB916281.cat
01.06.2006 22:28:44 S 11043 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB918439.cat
28.07.2006 03:05:46 H 1024 C:\WINDOWS\system32\config\default.LOG
28.07.2006 03:01:38 H 1024 C:\WINDOWS\system32\config\SAM.LOG
28.07.2006 03:03:04 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
28.07.2006 03:05:46 H 1024 C:\WINDOWS\system32\config\software.LOG
28.07.2006 03:08:18 H 1024 C:\WINDOWS\system32\config\system.LOG
12.07.2006 03:00:36 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
24.07.2006 21:53:28 RH 0 C:\WINDOWS\system32\zsfiles\inventory.rps
28.07.2006 03:01:28 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Realtek Semiconductor Corp. 21.06.2005 04:09:06 R 18751488 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\Toby\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
Versatel.de ISDN 0404 = IEAK
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\NVC
{D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\NVC
{D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\NVC
{D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882}
= C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{127547AC-FDD2-4303-8F41-F3402BFF3FC6}
= C:\WINDOWS\system32\vturo.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\PROGRA~1\SPYBOT~1\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDB589B0-9D2E-4E86-A203-515060776ABD}
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{21569614-B795-46B1-85F4-E737A8DC09AD}
Shell Search Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{C4069E3A-68F1-403E-B40E-20066696354B} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = :
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SoundMan SOUNDMAN.EXE
DAEMON Tools "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize
NeroFilterCheck C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
Norman ZANDA C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
Securepoint Personal Firewall "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Steam
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
ZSScheduler RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID
{17492023-C23A-453E-A040-C7C580BBF700} 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
DisableTaskMgr 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoCloseDragDropBands 0
NoMovingBands 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
{14F5610B-0BB0-1031-1221-050411010031} "C:\Programme\Gemeinsame Dateien\{14F5610B-0BB0-1031-1221-050411010031}\Update.exe" mc-110-12-0000272

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd
=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo
= C:\WINDOWS\system32\vturo.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
= WgaLogon.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32
= winzlo32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 28.07.2006 03:08:26


hier das erste log vom DatFindbat *neu*


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\system32

28.07.2006 03:02 13.646 wpa.dbl
24.07.2006 22:17 2.550 Uninstall.ico
24.07.2006 22:17 1.406 Help.ico
24.07.2006 22:17 30.590 pavas.ico
12.07.2006 03:19 401.064 perfh009.dat
12.07.2006 03:19 74.996 perfc007.dat
12.07.2006 03:19 62.344 perfc009.dat
12.07.2006 03:19 415.470 perfh007.dat
12.07.2006 03:19 966.250 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
23.05.2006 17:26 579.888 LegitCheckControl.dll
23.05.2006 17:25 402.736 WgaLogon.dll
23.05.2006 17:25 285.488 WgaTray.exe
22.05.2006 14:17 251 spupdwxp.log
22.05.2006 14:16 91.888 FNTCACHE.DAT
22.05.2006 11:00 100 LuResult.txt
19.05.2006 17:09 3.073.536 mshtml.dll
19.05.2006 15:09 148.480 dnsapi.dll
19.05.2006 15:09 95.744 iphlpapi.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 152.064 cdfview.dll
10.05.2006 07:22 1.022.976 browseui.dll
09.05.2006 02:21 14.848 BASSMOD.dll
06.05.2006 00:12 0 h323log.txt
05.05.2006 23:42 13.646 wpa.bak
05.05.2006 23:35 146.650 BuzzingBee.wav
05.05.2006 23:35 940.794 LoopyMusic.wav
05.05.2006 23:23 25.065 wmpscheme.xml
05.05.2006 23:18 386 $winnt$.inf
05.05.2006 23:17 2.951 CONFIG.NT
05.05.2006 23:16 488 logonui.exe.manifest
05.05.2006 23:16 488 WindowsLogon.manifest
05.05.2006 23:16 749 sapi.cpl.manifest
05.05.2006 23:16 749 nwc.cpl.manifest
05.05.2006 23:16 749 ncpa.cpl.manifest
05.05.2006 23:16 749 cdplayer.exe.manifest
05.05.2006 23:16 749 wuaucpl.cpl.manifest
05.05.2006 23:14 21.740 emptyregdb.dat



so ich glaub das war alles ;)
Dieser Beitrag wurde am 28.07.2006 um 03:13 Uhr von Tobyx1 editiert.
Seitenanfang Seitenende
28.07.2006, 13:11
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 http://virus-protect.org/invisible.html
Versteckte- und Systemdateien sichtbar machen
-------------------------------------------------------------------

1.
gehe in die registry
start Ausfuehren - regedit

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
{14F5610B-0BB0-1031-1221-050411010031} -> loeschen

2.
Avenger:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{127547AC-FDD2-4303-8F41-F3402BFF3FC6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo

Files to delete:
C:\WINDOWS\SYSTEM32\__delete_on_reboot__pmnqguh.dll
C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\winzlo32.dll
poste den report

**
boote in den abgesicherten modus und loesch dort:
C:\Programme\Gemeinsame Dateien\{14F5610B-0BB0-1031-1221-050411010031}

**
poste noch mal das log von winpfind ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.07.2006, 23:58
Tobyx1
Member

Themenstarter

Beiträge: 13
#7 1. die datei gelöscht

2. avenger arbeiten lassen

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wrbmpysh

*******************

Script file located at: \??\C:\WINDOWS\xbhgqsgu.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\SYSTEM32\__delete_on_reboot__pmnqguh.dll deleted successfully.


File C:\WINDOWS\system32\vturo.dll not found!
Deletion of file C:\WINDOWS\system32\vturo.dll failed!

Could not process line:
C:\WINDOWS\system32\vturo.dll
Status: 0xc0000034



File C:\WINDOWS\system32\winzlo32.dll not found!
Deletion of file C:\WINDOWS\system32\winzlo32.dll failed!

Could not process line:
C:\WINDOWS\system32\winzlo32.dll
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{127547AC-FDD2-4303-8F41-F3402BFF3FC6} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

3. datei im abgesichertem modus gelöscht

4.WinPFind arbeiten lassen

WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 02.04.2003 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 23.05.2006 17:26:00 579888 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
aspack 07.07.2006 03:21:46 6757792 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
UPX! 27.04.2006 17:49:30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe
UPX! 09.01.2006 10:36:04 42496 C:\WINDOWS\SYSTEM32\swreg.exe
UPX! 09.01.2006 10:36:06 40960 C:\WINDOWS\SYSTEM32\swsc.exe
winsync 02.04.2003 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
PTech 23.05.2006 17:25:52 285488 C:\WINDOWS\SYSTEM32\WgaTray.exe

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
29.07.2006 00:05:08 S 2048 C:\WINDOWS\bootstat.dat
20.06.2006 01:09:56 H 8628 C:\WINDOWS\Help\netcfg.GID
01.06.2006 22:28:44 S 11043 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB918439.cat
29.07.2006 00:09:26 H 1024 C:\WINDOWS\system32\config\default.LOG
29.07.2006 00:05:24 H 1024 C:\WINDOWS\system32\config\SAM.LOG
29.07.2006 00:06:38 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
29.07.2006 00:10:42 H 1024 C:\WINDOWS\system32\config\software.LOG
29.07.2006 00:13:10 H 1024 C:\WINDOWS\system32\config\system.LOG
12.07.2006 03:00:36 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
24.07.2006 21:53:28 RH 0 C:\WINDOWS\system32\zsfiles\inventory.rps
29.07.2006 00:05:10 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Realtek Semiconductor Corp. 21.06.2005 04:09:06 R 18751488 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL
Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini

Checking files in %USERPROFILE%\Startup folder...
05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\Toby\Startmenü\Programme\Autostart\desktop.ini

Checking files in %USERPROFILE%\Application Data folder...
06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\desktop.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
Versatel.de ISDN 0404 = IEAK
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\NVC
{D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\NVC
{D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208}
= C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido
{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\NVC
{D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882}
= C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}
= C:\PROGRA~1\SPYBOT~1\SDHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4}
=
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDB589B0-9D2E-4E86-A203-515060776ABD}
=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{21569614-B795-46B1-85F4-E737A8DC09AD}
Shell Search Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}
File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{C4069E3A-68F1-403E-B40E-20066696354B} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = :
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SoundMan SOUNDMAN.EXE
DAEMON Tools "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize
NeroFilterCheck C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
Norman ZANDA C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
Securepoint Personal Firewall "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
Steam
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
ZSScheduler RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\
SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID
{17492023-C23A-453E-A040-C7C580BBF700} 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1
DisableTaskMgr 0


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop
NoCloseDragDropBands 0
NoMovingBands 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd
=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo
=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
= WgaLogon.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32
=

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 29.07.2006 00:13:34


*zwischendanke einreich* ;)
Dieser Beitrag wurde am 29.07.2006 um 00:15 Uhr von Tobyx1 editiert.
Seitenanfang Seitenende
29.07.2006, 00:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "sheriff.reg" auf dem Desktop doppelklicken.

Zitat

REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=-
2.
scanne mit Panda und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2006, 02:14
Tobyx1
Member

Themenstarter

Beiträge: 13
#9 1. die reg erstellt und beigefügt

2.log vom Panda-scan


Incident Status Location

Adware:adware/maxifiles Not disinfected c:\programme\ToolBar888
Adware:adware/sidesearch Not disinfected Windows Registry
Spyware:spyware/virtumonde Not disinfected Windows Registry
Adware:Adware/Mytoolbar Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/Activate.exe]
Adware:Adware/SecurityError Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/ishost.exe]
Adware:Adware/DollarRevenue Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/Uninst.exe][²ÜÇ\nsProcess.dll]
Adware:Adware/SuperSpider Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/winzlo32.dll]
Spyware:Spyware/Virtumonde Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/__delete_on_reboot__jkkhfgd.dll]
Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup.zip[avenger/__delete_on_reboot__pmnqguh.dll]
Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@2o7[2].txt
Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@adtech[2].txt
Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@advertising[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@as-eu.falkag[1].txt
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@as1.falkag[2].txt
Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@atdmt[2].txt
Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@doubleclick[1].txt
Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@mediaplex[1].txt
Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@tradedoubler[2].txt
Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@xiti[1].txt
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\smitRem\Process.exe
Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\smitRem.exe[smitRem/Process.exe]
Adware:Adware/PurityScan Not disinfected C:\Programme\Cowabanga\uninstaller.exe
Spyware:Spyware/Virtumonde Not disinfected C:\VundoFix Backups\jkkhfgd.dll
Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe
Seitenanfang Seitenende
29.07.2006, 02:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 loesche:

c:\programme\ToolBar888
C:\Programme\Cowabanga

C:\VundoFix Backups
C:\avenger\backup-28.07.2006-23.56.11,43.zip

dann sollte wieder alles o.k. sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2006, 05:54
Tobyx1
Member

Themenstarter

Beiträge: 13
#11 oki


c:\programme\ToolBar888 *gelöscht*

C:\Programme\Cowabanga *gelöscht*

C:\VundoFix Backups *gelöscht aber*
die datei C:\VundoFix Backups\jkkhfgd.dll konnté nicht gelöscht werden *?!?weil sie nicht da ist?!?*
beim löschvorgang schlug norman dann jkkhfgd.dll - virtumonde alarm.
ist das normal ?


C:\avenger\backup-28.07.2006-23.56.11,43.zip *gelöscht*

lg
Tobyx1[/b]
Seitenanfang Seitenende
29.07.2006, 12:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd
poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2006, 14:25
Tobyx1
Member

Themenstarter

Beiträge: 13
#13 1.avenger log

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\nqkyqkbq

*******************

Script file located at: \??\C:\WINDOWS\iysbpkmk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 for deletion
Deletion of file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32
Status: 0xc000003a



Could not open file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo for deletion
Deletion of file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo failed!

Could not process line:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo
Status: 0xc000003a



Could not open file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd for deletion
Deletion of file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd failed!

Could not process line:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd
Status: 0xc000003a


Completed script processing.

*******************

Finished! Terminate.

2. ComboFix log

Start Time= 29.07.2006 14:16:34,96
Running from: C:\Dokumente und Einstellungen\Toby\Desktop

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-07-26 14:36:20 ( .D... ) "C:\Programme\Securepoint Personal Firewall"
2006-07-24 23:12:06 ( .D... ) "C:\Programme\Spybot - Search & Destroy"
2006-07-24 23:09:46 ( .D... ) "C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Lavasoft"
2006-07-24 23:09:24 ( .D... ) "C:\Programme\Lavasoft"
2006-07-24 21:34:28 ( .D... ) "C:\Programme\FBM Software"
2006-07-24 19:57:40 ( .D... ) "C:\Programme\CleanUp!"
2006-07-23 18:15:10 32206 ( ..SH. ) "C:\Programme\Gemeinsame Dateien\Y1123OU.exe"
2006-05-29 15:45:32 ( .D... ) "C:\Programme\Windows Media Connect 2"
2006-05-23 17:25:52 402736 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll"
2006-05-22 14:01:42 47564 ( A.SHR ) "C:\NTDETECT.COM"
2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-05-18 01:23:28 359120 ( A.... ) "C:\WINDOWS\WBDDB34I.DLL"
2006-05-18 01:23:28 217157 ( A.... ) "C:\WINDOWS\WWZIP34I.DLL"
2006-05-18 01:23:28 172032 ( A.... ) "C:\WINDOWS\WsBtn.dll"
2006-05-18 01:23:28 53317 ( A.... ) "C:\WINDOWS\wwsop34i.dll"
2006-05-18 01:23:28 25915 ( A.... ) "C:\WINDOWS\wilx34i.dll"
2006-05-09 02:21:30 14848 ( A.... ) "C:\WINDOWS\system32\BASSMOD.dll"
2006-05-06 00:07:22 62 ( A.SH. ) "C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\desktop.ini"
2006-05-05 23:35:44 60416 ( A.... ) "C:\WINDOWS\ALCFDRTM.EXE"
2006-05-05 23:17:10 0 ( A.... ) "C:\AUTOEXEC.BAT"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-07-28 02:57 53.248 C:\WINDOWS\system32\Process.exe
2006-07-28 02:57 42.496 C:\WINDOWS\system32\swreg.exe
2006-07-28 02:57 40.960 C:\WINDOWS\system32\swsc.exe
2006-07-28 02:57 288.417 C:\WINDOWS\system32\SrchSTS.exe
2006-07-24 22:18 73.728 C:\WINDOWS\system32\asuninst.exe
2006-07-24 22:18 11.776 C:\WINDOWS\system32\ZPORT4AS.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"Norman ZANDA"="C:\\Norman\\bin\\ZLH.EXE /LOAD /SPLASH"
"Securepoint Personal Firewall"="\"C:\\Programme\\Securepoint Personal Firewall\\bin\\sppfw.exe\""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"ZSScheduler"="RunDll32.exe \"C:\\Programme\\FBM Software\\ZeroSpyware\\ZSScheduler.dll\", runScheduler C:\\Programme\\FBM Software\\ZeroSpyware\\"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""




Contents of the 'Scheduled Tasks' folder

Completion time: 29.07.2006 14:16:51,85
ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt



lg
Tobyx1
Dieser Beitrag wurde am 29.07.2006 um 14:34 Uhr von Tobyx1 editiert.
Seitenanfang Seitenende
29.07.2006, 15:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
loesche: C:\Programme\Gemeinsame Dateien\Y1123OU.exe

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Programme\FBM Software" >>files.txt
dir "C:\Programme\FBM Software\ZeroSpyware" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2006, 19:38
Tobyx1
Member

Themenstarter

Beiträge: 13
#15 1. datei geköscht

2. listen.bat logfile

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Dokumente und Einstellungen\Toby\Lokale Einstellungen\Temp

29.07.2006 19:32 <DIR> .
29.07.2006 19:32 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.845.568 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\Temp

29.07.2006 14:16 <DIR> .
29.07.2006 14:16 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.845.568 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Temp

08.05.2006 18:50 <DIR> .
08.05.2006 18:50 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.841.472 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme

29.07.2006 05:40 <DIR> .
29.07.2006 05:40 <DIR> ..
06.05.2006 00:07 <DIR> Adobe
24.07.2006 19:57 <DIR> CleanUp!
05.05.2006 23:14 <DIR> ComPlus Applications
07.05.2006 15:48 <DIR> DAEMON Tools
28.07.2006 12:38 <DIR> eMule
29.07.2006 01:48 <DIR> ewido anti-malware
24.07.2006 21:34 <DIR> FBM Software
29.07.2006 00:04 <DIR> Gemeinsame Dateien
29.07.2006 01:49 <DIR> ICQLite
29.07.2006 01:49 <DIR> Internet Explorer
24.07.2006 23:09 <DIR> Lavasoft
22.05.2006 14:25 <DIR> Messenger
05.05.2006 23:17 <DIR> microsoft frontpage
23.07.2006 03:40 <DIR> mIRC
22.05.2006 14:04 <DIR> Movie Maker
05.05.2006 23:14 <DIR> MSN
05.05.2006 23:14 <DIR> MSN Gaming Zone
22.05.2006 12:19 <DIR> Nero
22.05.2006 14:03 <DIR> NetMeeting
05.05.2006 23:14 <DIR> Online Services
05.05.2006 23:16 <DIR> Online-Dienste
22.05.2006 14:25 <DIR> Outlook Express
09.05.2006 00:44 <DIR> PC Inspector File Recovery
09.05.2006 02:17 <DIR> PhotoRescue Pro
09.05.2006 01:29 <DIR> PowerQuest
09.05.2006 00:28 <DIR> recover
26.07.2006 14:36 <DIR> Securepoint Personal Firewall
26.05.2006 16:39 <DIR> Security Task Manager
08.05.2006 15:54 <DIR> Spiele
29.07.2006 01:55 <DIR> Spybot - Search & Destroy
22.05.2006 11:46 <DIR> tools
29.05.2006 15:45 <DIR> Windows Media Connect 2
29.05.2006 15:44 <DIR> Windows Media Player
22.05.2006 14:03 <DIR> Windows NT
29.07.2006 01:55 <DIR> WinRAR
05.05.2006 23:17 <DIR> xerox
0 Datei(en) 0 Bytes
38 Verzeichnis(se), 51.524.841.472 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\system32\components

28.07.2006 02:57 <DIR> .
28.07.2006 02:57 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.841.472 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
27.03.2006 13:00 5.019 swflash.inf
29.04.2005 17:24 155.648 zylomgamesplayer.dll
25.03.2005 17:17 244 ZylomGamesPlayer.inf
5 Datei(en) 296.616 Bytes
0 Verzeichnis(se), 51.524.841.472 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme\Gemeinsame Dateien

29.07.2006 00:04 <DIR> .
29.07.2006 00:04 <DIR> ..
08.05.2006 15:01 <DIR> Adobe
22.05.2006 12:21 <DIR> Ahead
05.05.2006 23:15 <DIR> Dienste
22.05.2006 14:52 <DIR> InstallShield
29.05.2006 15:46 <DIR> Microsoft Shared
05.05.2006 23:15 <DIR> MSSoap
06.05.2006 00:07 <DIR> ODBC
06.05.2006 00:07 <DIR> SpeechEngines
22.05.2006 14:25 <DIR> System
0 Datei(en) 0 Bytes
11 Verzeichnis(se), 51.524.837.376 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme\FBM Software

24.07.2006 21:34 <DIR> .
24.07.2006 21:34 <DIR> ..
24.07.2006 22:23 <DIR> ZeroSpyware
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 51.524.837.376 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme\FBM Software\ZeroSpyware

24.07.2006 22:23 <DIR> .
24.07.2006 22:23 <DIR> ..
24.07.2006 21:40 <DIR> BackUp
24.07.2006 21:40 564 bhowl.dat
24.07.2006 21:54 <DIR> Diagnostics
24.07.2006 21:39 1 EnableQuickScan.dat
24.07.2006 21:53 73 exList.dat
24.07.2006 21:34 1.575 filecrcs.dat
24.07.2006 21:40 <DIR> glvLog
24.07.2006 21:53 <DIR> logdata
24.07.2006 21:53 3.099 res.dat
24.07.2006 21:53 6.810 rprt.dat
24.07.2006 21:40 0 schsc.tmp
24.07.2006 21:40 0 usrsc.tmp
8 Datei(en) 12.122 Bytes
6 Verzeichnis(se), 51.524.837.376 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Dokumente und Einstellungen\Toby\Lokale Einstellungen\Temp

29.07.2006 19:32 <DIR> .
29.07.2006 19:32 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.825.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\Temp

29.07.2006 14:16 <DIR> .
29.07.2006 14:16 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.825.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Temp

08.05.2006 18:50 <DIR> .
08.05.2006 18:50 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.825.088 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme

29.07.2006 05:40 <DIR> .
29.07.2006 05:40 <DIR> ..
06.05.2006 00:07 <DIR> Adobe
24.07.2006 19:57 <DIR> CleanUp!
05.05.2006 23:14 <DIR> ComPlus Applications
07.05.2006 15:48 <DIR> DAEMON Tools
28.07.2006 12:38 <DIR> eMule
29.07.2006 01:48 <DIR> ewido anti-malware
24.07.2006 21:34 <DIR> FBM Software
29.07.2006 19:37 <DIR> Gemeinsame Dateien
29.07.2006 01:49 <DIR> ICQLite
29.07.2006 01:49 <DIR> Internet Explorer
24.07.2006 23:09 <DIR> Lavasoft
22.05.2006 14:25 <DIR> Messenger
05.05.2006 23:17 <DIR> microsoft frontpage
23.07.2006 03:40 <DIR> mIRC
22.05.2006 14:04 <DIR> Movie Maker
05.05.2006 23:14 <DIR> MSN
05.05.2006 23:14 <DIR> MSN Gaming Zone
22.05.2006 12:19 <DIR> Nero
22.05.2006 14:03 <DIR> NetMeeting
05.05.2006 23:14 <DIR> Online Services
05.05.2006 23:16 <DIR> Online-Dienste
22.05.2006 14:25 <DIR> Outlook Express
09.05.2006 00:44 <DIR> PC Inspector File Recovery
09.05.2006 02:17 <DIR> PhotoRescue Pro
09.05.2006 01:29 <DIR> PowerQuest
09.05.2006 00:28 <DIR> recover
26.07.2006 14:36 <DIR> Securepoint Personal Firewall
26.05.2006 16:39 <DIR> Security Task Manager
08.05.2006 15:54 <DIR> Spiele
29.07.2006 01:55 <DIR> Spybot - Search & Destroy
22.05.2006 11:46 <DIR> tools
29.05.2006 15:45 <DIR> Windows Media Connect 2
29.05.2006 15:44 <DIR> Windows Media Player
22.05.2006 14:03 <DIR> Windows NT
29.07.2006 01:55 <DIR> WinRAR
05.05.2006 23:17 <DIR> xerox
0 Datei(en) 0 Bytes
38 Verzeichnis(se), 51.524.820.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\system32\components

28.07.2006 02:57 <DIR> .
28.07.2006 02:57 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 51.524.820.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
27.03.2006 13:00 5.019 swflash.inf
29.04.2005 17:24 155.648 zylomgamesplayer.dll
25.03.2005 17:17 244 ZylomGamesPlayer.inf
5 Datei(en) 296.616 Bytes
0 Verzeichnis(se), 51.524.820.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme\Gemeinsame Dateien

29.07.2006 19:37 <DIR> .
29.07.2006 19:37 <DIR> ..
08.05.2006 15:01 <DIR> Adobe
22.05.2006 12:21 <DIR> Ahead
05.05.2006 23:15 <DIR> Dienste
22.05.2006 14:52 <DIR> InstallShield
29.05.2006 15:46 <DIR> Microsoft Shared
05.05.2006 23:15 <DIR> MSSoap
06.05.2006 00:07 <DIR> ODBC
06.05.2006 00:07 <DIR> SpeechEngines
22.05.2006 14:25 <DIR> System
0 Datei(en) 0 Bytes
11 Verzeichnis(se), 51.524.820.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme\FBM Software

24.07.2006 21:34 <DIR> .
24.07.2006 21:34 <DIR> ..
24.07.2006 22:23 <DIR> ZeroSpyware
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 51.524.820.992 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14F5-610B

Verzeichnis von C:\Programme\FBM Software\ZeroSpyware

24.07.2006 22:23 <DIR> .
24.07.2006 22:23 <DIR> ..
24.07.2006 21:40 <DIR> BackUp
24.07.2006 21:40 564 bhowl.dat
24.07.2006 21:54 <DIR> Diagnostics
24.07.2006 21:39 1 EnableQuickScan.dat
24.07.2006 21:53 73 exList.dat
24.07.2006 21:34 1.575 filecrcs.dat
24.07.2006 21:40 <DIR> glvLog
24.07.2006 21:53 <DIR> logdata
24.07.2006 21:53 3.099 res.dat
24.07.2006 21:53 6.810 rprt.dat
24.07.2006 21:40 0 schsc.tmp
24.07.2006 21:40 0 usrsc.tmp
8 Datei(en) 12.122 Bytes
6 Verzeichnis(se), 51.524.820.992 Bytes frei

und ein weiteres *zwischendanke* ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12