vturo.dll - Virtumonde - Prob.geloestThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.07.2006, 17:59
Tobyx1
zu Gast
|
||
|
||
25.07.2006, 20:00
Ehrenmitglied
Beiträge: 29434 |
#2
1.
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html 3. echo.zip entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2006, 02:07
Member
Themenstarter Beiträge: 13 |
#3
oki dann hier erstmal die neue hijack logfile *nach dem rumpfuschen*
Logfile of HijackThis v1.99.1 Scan saved at 02:05:18, on 28.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\Norman\Bin\Zanda.exe C:\WINDOWS\system32\wdfmgr.exe C:\Norman\bin\NJEEVES.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\Norman\Nvc\BIN\nipsvc.exe C:\Norman\Nvc\BIN\NVCSCHED.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ishost.exe C:\WINDOWS\system32\ismon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Norman\bin\ZLH.EXE C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Norman\Nvc\BIN\NIP.EXE C:\Norman\Nvc\bin\cclaw.exe C:\WINDOWS\system32\isnotify.exe C:\WINDOWS\system32\issearch.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Toby\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ZSScheduler] RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\ O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D4BF12EB-24EF-4800-AE16-A8F9B468242B}: NameServer = 62.220.18.8 62.72.64.241 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe Clean up durchgeführt datfind.bat logfiles 1. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\system32 28.07.2006 02:00 569.083 orutv.ini2 28.07.2006 01:55 41.984 ixt0.dll 28.07.2006 01:55 4.286 ot.ico 28.07.2006 01:55 4.286 ts.ico 28.07.2006 01:55 8.760 isnotify.exe 28.07.2006 01:55 61.440 issearch.exe 28.07.2006 01:53 14.336 ismon.exe 28.07.2006 01:53 13.646 wpa.dbl 26.07.2006 11:55 113.680 ishost.exe 26.07.2006 11:55 38.925 __delete_on_reboot__jkkhfgd.dll 26.07.2006 11:54 65.556 kecxhrey.exe 26.07.2006 11:54 557.127 orutv.bak2 26.07.2006 01:43 65.556 vyysjdwe.exe 24.07.2006 22:53 65.556 feinatoh.exe 24.07.2006 22:52 143 mcrh.tmp 24.07.2006 22:20 0 asfiles.txt 24.07.2006 22:17 2.550 Uninstall.ico 24.07.2006 22:17 1.406 Help.ico 24.07.2006 22:17 30.590 pavas.ico 24.07.2006 21:40 131.072 datestamp.dll 24.07.2006 15:53 568.284 orutv.tmp 24.07.2006 15:53 568.284 orutv.ini 23.07.2006 18:27 562.721 orutv.bak1 23.07.2006 18:26 573.492 vturo.dll 23.07.2006 18:15 15.872 winzlo32.dll 12.07.2006 03:19 401.064 perfh009.dat 12.07.2006 03:19 74.996 perfc007.dat 12.07.2006 03:19 415.470 perfh007.dat 12.07.2006 03:19 62.344 perfc009.dat 12.07.2006 03:19 966.250 PerfStringBackup.INI 07.07.2006 03:21 6.757.792 MRT.exe 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 20:47 163.840 jgdw400.dll 29.05.2006 17:30 1.494.016 shdocvw.dll 23.05.2006 17:26 579.888 LegitCheckControl.dll 23.05.2006 17:25 402.736 WgaLogon.dll 23.05.2006 17:25 285.488 WgaTray.exe 22.05.2006 14:17 251 spupdwxp.log 22.05.2006 14:16 91.888 FNTCACHE.DAT 22.05.2006 11:00 100 LuResult.txt 19.05.2006 17:09 3.073.536 mshtml.dll 19.05.2006 15:09 95.744 iphlpapi.dll 19.05.2006 15:09 112.128 dhcpcsvc.dll 19.05.2006 15:09 148.480 dnsapi.dll 18.05.2006 07:36 450.560 jscript.dll 14.05.2006 10:48 181.248 rasmans.dll 11.05.2006 10:57 27.136 xpsp3res.dll 2. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\DOKUME~1\Toby\LOKALE~1\Temp 3. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS 28.07.2006 01:47 1.136.880 WindowsUpdate.log 27.07.2006 20:43 0 0.log 27.07.2006 20:43 2.048 bootstat.dat 27.07.2006 13:24 32.606 SchedLgU.Txt 26.07.2006 01:38 1.078.482 ntbtlog.txt 26.07.2006 01:11 187.911 setupact.log 24.07.2006 22:20 546 win.ini 24.07.2006 22:18 54.411 setupapi.log 24.07.2006 15:57 134.174 dp2_log.txt 23.07.2006 19:49 60.416 ALCFDRTM.VER 20.07.2006 16:26 89.928 wmsetup.log 14.07.2006 06:55 50 wiaservc.log 14.07.2006 06:55 216 wiadebug.log 13.07.2006 14:02 151 PhotoSnapViewer.INI 12.07.2006 03:01 149.271 comsetup.log 12.07.2006 03:01 93.341 iis6.log 12.07.2006 03:01 234.150 tsoc.log 12.07.2006 03:01 11.833 KB917159.log 12.07.2006 03:01 18.166 ocmsn.log 12.07.2006 03:01 1.374 imsins.log 12.07.2006 03:01 89.608 ntdtcsetup.log 12.07.2006 03:01 30.258 msgsocm.log 12.07.2006 03:01 307.866 ocgen.log 4. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\ 28.07.2006 02:02 0 sys.txt 28.07.2006 02:01 8.984 system.txt 28.07.2006 02:01 132 systemtemp.txt 28.07.2006 02:00 91.029 system32.txt 27.07.2006 20:43 1.610.612.736 pagefile.sys 26.07.2006 12:46 749 VundoFix.txt 26.07.2006 01:07 3.656 smitfiles.txt 22.05.2006 14:05 211 boot.ini 22.05.2006 14:01 47.564 NTDETECT.COM 22.05.2006 14:01 251.184 ntldr 22.05.2006 12:21 80 FilterLog.log 05.05.2006 23:17 0 IO.SYS 05.05.2006 23:17 0 CONFIG.SYS 05.05.2006 23:17 0 AUTOEXEC.BAT 05.05.2006 23:17 0 MSDOS.SYS 02.04.2003 14:00 4.952 bootfont.bin 16 Datei(en) 1.611.021.277 Bytes 0 Verzeichnis(se), 51.657.043.968 Bytes frei und das vom echo 10)DPF???? Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.04.2006 17:10 135.168 asinst.dll 03.04.2006 11:00 537 asinst.inf 27.03.2006 13:00 5.019 swflash.inf 29.04.2005 17:24 155.648 zylomgamesplayer.dll 25.03.2005 17:17 244 ZylomGamesPlayer.inf 5 Datei(en) 296.616 Bytes Anzahl der angezeigten Dateien: 5 Datei(en) 296.616 Bytes 0 Verzeichnis(se), 51.657.043.968 Bytes frei so hoffe mal das ist alles richtig so nochmals danke Dieser Beitrag wurde am 28.07.2006 um 02:17 Uhr von Tobyx1 editiert.
|
|
|
||
28.07.2006, 02:26
Ehrenmitglied
Beiträge: 29434 |
#4
1.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint ** öffne das HijackThis -- Button "scan" -- vor die -Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank** arbeite smitfraudfix ab (Option 1 und 2 - lasse auch die Registry mitreinigen- poste die zwei logs) http://virus-protect.org/artikel/tools/smitfrautfix.html ** poste das log von winpfind http://virus-protect.org/winpfind.html ** poste noch mal das erste log von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2006, 02:38
Member
Themenstarter Beiträge: 13 |
#5
Avenger logfile
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\chjyfopf ******************* Script file located at: \??\C:\WINDOWS\jdbqjqke.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Programme\Toolbar888\ToolBar888.dll not found! Deletion of file C:\Programme\Toolbar888\ToolBar888.dll failed! Could not process line: C:\Programme\Toolbar888\ToolBar888.dll Status: 0xc0000034 File C:\Programme\ToolBar888\MyToolBar.dll not found! Deletion of file C:\Programme\ToolBar888\MyToolBar.dll failed! Could not process line: C:\Programme\ToolBar888\MyToolBar.dll Status: 0xc0000034 File C:\Programme\ToolBar888\__delete_on_reboot__M_y_T_o_o_l_B_a_r_._d_l_l_ not found! Deletion of file C:\Programme\ToolBar888\__delete_on_reboot__M_y_T_o_o_l_B_a_r_._d_l_l_ failed! Could not process line: C:\Programme\ToolBar888\__delete_on_reboot__M_y_T_o_o_l_B_a_r_._d_l_l_ Status: 0xc0000034 File C:\Programme\ToolBar888\Activate.exe deleted successfully. File C:\Programme\ToolBar888\Uninst.exe deleted successfully. File C:\WINDOWS\system32\orutv.ini2 deleted successfully. File C:\WINDOWS\system32\ixt0.dll deleted successfully. File C:\WINDOWS\system32\ot.ico deleted successfully. File C:\WINDOWS\system32\ts.ico deleted successfully. File C:\WINDOWS\system32\isnotify.exe deleted successfully. File C:\WINDOWS\system32\issearch.exe deleted successfully. File C:\WINDOWS\system32\ismon.exe deleted successfully. File C:\WINDOWS\system32\ishost.exe deleted successfully. File C:\WINDOWS\system32\__delete_on_reboot__jkkhfgd.dll deleted successfully. File C:\WINDOWS\system32\kecxhrey.exe deleted successfully. File C:\WINDOWS\system32\orutv.bak2 deleted successfully. File C:\WINDOWS\system32\vyysjdwe.exe deleted successfully. File C:\WINDOWS\system32\feinatoh.exe deleted successfully. File C:\WINDOWS\system32\mcrh.tmp deleted successfully. File C:\WINDOWS\system32\asfiles.txt deleted successfully. File C:\WINDOWS\system32\datestamp.dll deleted successfully. File C:\WINDOWS\system32\orutv.tmp deleted successfully. File C:\WINDOWS\system32\orutv.ini deleted successfully. File C:\WINDOWS\system32\orutv.bak1 deleted successfully. File C:\WINDOWS\system32\vturo.dll deleted successfully. File C:\WINDOWS\system32\winzlo32.dll deleted successfully. Completed script processing. ******************* Finished! Terminate. Zitat O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)waren bereits gelöscht SmitfraudFix Log 1 SmitFraudFix v2.76 Scan done at 2:51:16,37, 28.07.2006 Run from C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\components\flx?.dll FOUND ! C:\WINDOWS\system32\components\flx??.dll FOUND ! C:\WINDOWS\system32\components\flx???.dll FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Toby\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:\DOKUME~1\Toby\STARTM~1\SpyQuake2.com 2.3.lnk FOUND ! C:\DOKUME~1\Toby\STARTM~1\PROGRA~1\SpyQuake2.com FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Toby\FAVORI~1 C:\DOKUME~1\Toby\FAVORI~1\Antivirus Test Online.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:\DOKUME~1\Toby\Desktop\SpyQuake2.com.lnk FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND ! C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme C:\Programme\SpyQuake2.com\ FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Log 2 SmitFraudFix v2.76 Scan done at 2:57:24,42, 28.07.2006 Run from C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\components\flx?.dll Deleted C:\DOKUME~1\Toby\Desktop\SpyQuake2.com.lnk Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted C:\DOKUME~1\Toby\FAVORI~1\Antivirus Test Online.url Deleted C:\DOKUME~1\Toby\STARTM~1\SpyQuake2.com 2.3.lnk Deleted C:\DOKUME~1\Toby\STARTM~1\PROGRA~1\SpyQuake2.com Deleted C:\Programme\SpyQuake2.com\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End das WinFind log WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600 Internet Explorer Version: 6.0.2900.2180 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 02.04.2003 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc PTech 23.05.2006 17:26:00 579888 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll aspack 07.07.2006 03:21:46 6757792 C:\WINDOWS\SYSTEM32\MRT.exe aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll UPX! 27.04.2006 17:49:30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe UPX! 09.01.2006 10:36:04 42496 C:\WINDOWS\SYSTEM32\swreg.exe UPX! 09.01.2006 10:36:06 40960 C:\WINDOWS\SYSTEM32\swsc.exe winsync 02.04.2003 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu PTech 23.05.2006 17:25:52 285488 C:\WINDOWS\SYSTEM32\WgaTray.exe UPX! 28.12.2005 23:31:26 57864 C:\WINDOWS\SYSTEM32\__delete_on_reboot__pmnqguh.dll Checking %System%\Drivers folder and sub-folders... PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 28.07.2006 03:01:26 S 2048 C:\WINDOWS\bootstat.dat 29.05.2006 15:43:08 RHS 227 C:\WINDOWS\assembly\Desktop.ini 29.05.2006 15:47:00 RH 0 C:\WINDOWS\assembly\PublisherPolicy.tme 29.05.2006 15:47:00 RH 0 C:\WINDOWS\assembly\pubpol1.dat 29.05.2006 16:15:30 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1c.dat 20.06.2006 01:09:56 H 8628 C:\WINDOWS\Help\netcfg.GID 29.05.2006 18:16:04 S 23751 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB916281.cat 01.06.2006 22:28:44 S 11043 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB918439.cat 28.07.2006 03:05:46 H 1024 C:\WINDOWS\system32\config\default.LOG 28.07.2006 03:01:38 H 1024 C:\WINDOWS\system32\config\SAM.LOG 28.07.2006 03:03:04 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 28.07.2006 03:05:46 H 1024 C:\WINDOWS\system32\config\software.LOG 28.07.2006 03:08:18 H 1024 C:\WINDOWS\system32\config\system.LOG 12.07.2006 03:00:36 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG 24.07.2006 21:53:28 RH 0 C:\WINDOWS\system32\zsfiles\inventory.rps 28.07.2006 03:01:28 H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl Realtek Semiconductor Corp. 21.06.2005 04:09:06 R 18751488 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini Checking files in %USERPROFILE%\Startup folder... 05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\Toby\Startmenü\Programme\Autostart\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\desktop.ini »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] Versatel.de ISDN 0404 = IEAK SV1 = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\NVC {D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\NVC {D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\NVC {D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882} = C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{127547AC-FDD2-4303-8F41-F3402BFF3FC6} = C:\WINDOWS\system32\vturo.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4} = HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDB589B0-9D2E-4E86-A203-515060776ABD} = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9} ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683} ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{21569614-B795-46B1-85F4-E737A8DC09AD} Shell Search Band = %SystemRoot%\system32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} = HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E} Favorites Band = %SystemRoot%\System32\shdocvw.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\System32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {C4069E3A-68F1-403E-B40E-20066696354B} = : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = : {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] SoundMan SOUNDMAN.EXE DAEMON Tools "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize NeroFilterCheck C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe Norman ZANDA C:\Norman\bin\ZLH.EXE /LOAD /SPLASH Securepoint Personal Firewall "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe Steam BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" ZSScheduler RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\ SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID {17492023-C23A-453E-A040-C7C580BBF700} 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 DisableTaskMgr 0 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop NoCloseDragDropBands 0 NoMovingBands 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run {14F5610B-0BB0-1031-1221-050411010031} "C:\Programme\Gemeinsame Dateien\{14F5610B-0BB0-1031-1221-050411010031}\Update.exe" mc-110-12-0000272 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent = Ati2evxx.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo = C:\WINDOWS\system32\vturo.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon = WgaLogon.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 = winzlo32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 28.07.2006 03:08:26 hier das erste log vom DatFindbat *neu* Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\system32 28.07.2006 03:02 13.646 wpa.dbl 24.07.2006 22:17 2.550 Uninstall.ico 24.07.2006 22:17 1.406 Help.ico 24.07.2006 22:17 30.590 pavas.ico 12.07.2006 03:19 401.064 perfh009.dat 12.07.2006 03:19 74.996 perfc007.dat 12.07.2006 03:19 62.344 perfc009.dat 12.07.2006 03:19 415.470 perfh007.dat 12.07.2006 03:19 966.250 PerfStringBackup.INI 07.07.2006 03:21 6.757.792 MRT.exe 01.06.2006 20:47 27.648 jgpl400.dll 01.06.2006 20:47 163.840 jgdw400.dll 29.05.2006 17:30 1.494.016 shdocvw.dll 23.05.2006 17:26 579.888 LegitCheckControl.dll 23.05.2006 17:25 402.736 WgaLogon.dll 23.05.2006 17:25 285.488 WgaTray.exe 22.05.2006 14:17 251 spupdwxp.log 22.05.2006 14:16 91.888 FNTCACHE.DAT 22.05.2006 11:00 100 LuResult.txt 19.05.2006 17:09 3.073.536 mshtml.dll 19.05.2006 15:09 148.480 dnsapi.dll 19.05.2006 15:09 95.744 iphlpapi.dll 19.05.2006 15:09 112.128 dhcpcsvc.dll 18.05.2006 07:36 450.560 jscript.dll 14.05.2006 10:48 181.248 rasmans.dll 11.05.2006 10:57 27.136 xpsp3res.dll 10.05.2006 07:23 664.064 wininet.dll 10.05.2006 07:22 474.624 shlwapi.dll 10.05.2006 07:22 615.936 urlmon.dll 10.05.2006 07:22 532.480 mstime.dll 10.05.2006 07:22 146.432 msrating.dll 10.05.2006 07:22 39.424 pngfilt.dll 10.05.2006 07:22 448.512 mshtmled.dll 10.05.2006 07:22 96.768 inseng.dll 10.05.2006 07:22 16.384 jsproxy.dll 10.05.2006 07:22 251.392 iepeers.dll 10.05.2006 07:22 1.056.256 danim.dll 10.05.2006 07:22 357.888 dxtmsft.dll 10.05.2006 07:22 205.312 dxtrans.dll 10.05.2006 07:22 55.808 extmgr.dll 10.05.2006 07:22 152.064 cdfview.dll 10.05.2006 07:22 1.022.976 browseui.dll 09.05.2006 02:21 14.848 BASSMOD.dll 06.05.2006 00:12 0 h323log.txt 05.05.2006 23:42 13.646 wpa.bak 05.05.2006 23:35 146.650 BuzzingBee.wav 05.05.2006 23:35 940.794 LoopyMusic.wav 05.05.2006 23:23 25.065 wmpscheme.xml 05.05.2006 23:18 386 $winnt$.inf 05.05.2006 23:17 2.951 CONFIG.NT 05.05.2006 23:16 488 logonui.exe.manifest 05.05.2006 23:16 488 WindowsLogon.manifest 05.05.2006 23:16 749 sapi.cpl.manifest 05.05.2006 23:16 749 nwc.cpl.manifest 05.05.2006 23:16 749 ncpa.cpl.manifest 05.05.2006 23:16 749 cdplayer.exe.manifest 05.05.2006 23:16 749 wuaucpl.cpl.manifest 05.05.2006 23:14 21.740 emptyregdb.dat so ich glaub das war alles Dieser Beitrag wurde am 28.07.2006 um 03:13 Uhr von Tobyx1 editiert.
|
|
|
||
28.07.2006, 13:11
Ehrenmitglied
Beiträge: 29434 |
#6
http://virus-protect.org/invisible.html
Versteckte- und Systemdateien sichtbar machen ------------------------------------------------------------------- 1. gehe in die registry start Ausfuehren - regedit HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run {14F5610B-0BB0-1031-1221-050411010031} -> loeschen 2. Avenger: Zitat registry keys to delete:poste den report ** boote in den abgesicherten modus und loesch dort: C:\Programme\Gemeinsame Dateien\{14F5610B-0BB0-1031-1221-050411010031} ** poste noch mal das log von winpfind __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.07.2006, 23:58
Member
Themenstarter Beiträge: 13 |
#7
1. die datei gelöscht
2. avenger arbeiten lassen Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\wrbmpysh ******************* Script file located at: \??\C:\WINDOWS\xbhgqsgu.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\SYSTEM32\__delete_on_reboot__pmnqguh.dll deleted successfully. File C:\WINDOWS\system32\vturo.dll not found! Deletion of file C:\WINDOWS\system32\vturo.dll failed! Could not process line: C:\WINDOWS\system32\vturo.dll Status: 0xc0000034 File C:\WINDOWS\system32\winzlo32.dll not found! Deletion of file C:\WINDOWS\system32\winzlo32.dll failed! Could not process line: C:\WINDOWS\system32\winzlo32.dll Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{127547AC-FDD2-4303-8F41-F3402BFF3FC6} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo deleted successfully. Completed script processing. ******************* Finished! Terminate. 3. datei im abgesichertem modus gelöscht 4.WinPFind arbeiten lassen WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding. If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly. »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600 Internet Explorer Version: 6.0.2900.2180 »»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»» Checking %SystemDrive% folder... Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Checking %System% folder... PEC2 02.04.2003 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc PTech 23.05.2006 17:26:00 579888 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll aspack 07.07.2006 03:21:46 6757792 C:\WINDOWS\SYSTEM32\MRT.exe aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll UPX! 27.04.2006 17:49:30 288417 C:\WINDOWS\SYSTEM32\SrchSTS.exe UPX! 09.01.2006 10:36:04 42496 C:\WINDOWS\SYSTEM32\swreg.exe UPX! 09.01.2006 10:36:06 40960 C:\WINDOWS\SYSTEM32\swsc.exe winsync 02.04.2003 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu PTech 23.05.2006 17:25:52 285488 C:\WINDOWS\SYSTEM32\WgaTray.exe Checking %System%\Drivers folder and sub-folders... PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 29.07.2006 00:05:08 S 2048 C:\WINDOWS\bootstat.dat 20.06.2006 01:09:56 H 8628 C:\WINDOWS\Help\netcfg.GID 01.06.2006 22:28:44 S 11043 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB918439.cat 29.07.2006 00:09:26 H 1024 C:\WINDOWS\system32\config\default.LOG 29.07.2006 00:05:24 H 1024 C:\WINDOWS\system32\config\SAM.LOG 29.07.2006 00:06:38 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG 29.07.2006 00:10:42 H 1024 C:\WINDOWS\system32\config\software.LOG 29.07.2006 00:13:10 H 1024 C:\WINDOWS\system32\config\system.LOG 12.07.2006 03:00:36 H 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG 24.07.2006 21:53:28 RH 0 C:\WINDOWS\system32\zsfiles\inventory.rps 29.07.2006 00:05:10 H 6 C:\WINDOWS\Tasks\SA.DAT Checking for CPL files... Microsoft Corporation 04.08.2004 09:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl Realtek Semiconductor Corp. 21.06.2005 04:09:06 R 18751488 C:\WINDOWS\SYSTEM32\ALSNDMGR.CPL Microsoft Corporation 04.08.2004 09:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl Microsoft Corporation 04.08.2004 09:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl Microsoft Corporation 04.08.2004 09:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl Microsoft Corporation 04.08.2004 09:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl Microsoft Corporation 04.08.2004 09:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl Microsoft Corporation 04.08.2004 09:58:22 359424 C:\WINDOWS\SYSTEM32\inetcpl.cpl Microsoft Corporation 04.08.2004 09:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl Microsoft Corporation 04.08.2004 09:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl Microsoft Corporation 04.08.2004 09:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl Microsoft Corporation 04.08.2004 09:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl Microsoft Corporation 04.08.2004 09:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl Microsoft Corporation 04.08.2004 09:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl Microsoft Corporation 04.08.2004 09:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl Microsoft Corporation 04.08.2004 09:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl Microsoft Corporation 04.08.2004 09:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl Microsoft Corporation 04.08.2004 09:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl Microsoft Corporation 04.08.2004 09:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl Microsoft Corporation 26.05.2005 04:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl Microsoft Corporation 02.04.2003 14:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl Microsoft Corporation 02.04.2003 14:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl Microsoft Corporation 02.04.2003 14:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl »»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»» Checking files in %ALLUSERSPROFILE%\Startup folder... 05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini Checking files in %ALLUSERSPROFILE%\Application Data folder... 06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini Checking files in %USERPROFILE%\Startup folder... 05.05.2006 23:17:10 HS 84 C:\Dokumente und Einstellungen\Toby\Startmenü\Programme\Autostart\desktop.ini Checking files in %USERPROFILE%\Application Data folder... 06.05.2006 00:07:22 HS 62 C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\desktop.ini »»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»» [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] Versatel.de ISDN 0404 = IEAK SV1 = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] [HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers] HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\NVC {D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With {09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8} Start Menu Pin = %SystemRoot%\system32\SHELL32.dll HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\NVC {D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{EB4D3CFE-E2AA-4C6E-B2FE-2A749F95D208} = C:\Programme\Nero\Nero 7\Nero BackItUp\NBShell.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu {A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ewido {57BD36D7-CE32-4600-9B1C-1A0C47EFC02E} = C:\Programme\ewido anti-malware\context.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu {73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Programme\ICQLite\ICQLiteShell.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\NVC {D5507020-DB45-11d1-A5F0-00600872F78D} = C:\Norman\Nvc\BIN\NVCSE.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files {750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR {B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE} = %SystemRoot%\system32\SHELL32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{7D4D6379-F301-4311-BEBA-E26EB0561882} = C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F} = C:\PROGRA~1\SPYBOT~1\SDHelper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4} = HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CDB589B0-9D2E-4E86-A203-515060776ABD} = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9} ButtonText = ICQ Lite : C:\Programme\ICQLite\ICQLite.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683} ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{21569614-B795-46B1-85F4-E737A8DC09AD} Shell Search Band = %SystemRoot%\system32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478} = HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} File Search Explorer Band = %SystemRoot%\system32\SHELL32.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E} Favorites Band = %SystemRoot%\System32\shdocvw.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E} History Band = %SystemRoot%\System32\shdocvw.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {C4069E3A-68F1-403E-B40E-20066696354B} = : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} = : {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} = : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] SoundMan SOUNDMAN.EXE DAEMON Tools "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 ICQ Lite C:\Programme\ICQLite\ICQLite.exe -minimize NeroFilterCheck C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe Norman ZANDA C:\Norman\bin\ZLH.EXE /LOAD /SPLASH Securepoint Personal Firewall "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe Steam BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" ZSScheduler RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\ SpybotSD TeaTimer C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ICQ Lite C:\Programme\ICQLite\ICQLite.exe -trayboot [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID {17492023-C23A-453E-A040-C7C580BBF700} 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system dontdisplaylastusername 0 legalnoticecaption legalnoticetext shutdownwithoutlogon 1 undockwithoutlogon 1 DisableTaskMgr 0 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop NoCloseDragDropBands 0 NoMovingBands 0 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoDriveTypeAutoRun 145 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, Shell = Explorer.exe System = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent = Ati2evxx.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain = crypt32.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet = cryptnet.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll = cscdll.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy = sclgntfy.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn = WlNotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv = wlnotify.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon = WgaLogon.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 = HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon = wlnotify.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path Debugger = ntsd -d [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] AppInit_DLLs »»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder. Scan completed on 29.07.2006 00:13:34 *zwischendanke einreich* Dieser Beitrag wurde am 29.07.2006 um 00:15 Uhr von Tobyx1 editiert.
|
|
|
||
29.07.2006, 00:50
Ehrenmitglied
Beiträge: 29434 |
#8
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "sheriff.reg" auf dem Desktop doppelklicken. Zitat REGEDIT42. scanne mit Panda und poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2006, 02:14
Member
Themenstarter Beiträge: 13 |
#9
1. die reg erstellt und beigefügt
2.log vom Panda-scan Incident Status Location Adware:adware/maxifiles Not disinfected c:\programme\ToolBar888 Adware:adware/sidesearch Not disinfected Windows Registry Spyware:spyware/virtumonde Not disinfected Windows Registry Adware:Adware/Mytoolbar Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/Activate.exe] Adware:Adware/SecurityError Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/ishost.exe] Adware:Adware/DollarRevenue Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/Uninst.exe][²ÜÇ\nsProcess.dll] Adware:Adware/SuperSpider Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/winzlo32.dll] Spyware:Spyware/Virtumonde Not disinfected C:\avenger\backup-28.07.2006-23.56.11,43.zip[avenger/__delete_on_reboot__jkkhfgd.dll] Adware:Adware/SpywareQuake Not disinfected C:\avenger\backup.zip[avenger/__delete_on_reboot__pmnqguh.dll] Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@2o7[2].txt Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@adtech[2].txt Spyware:Cookie/Advertising Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@advertising[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@as-eu.falkag[1].txt Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@as1.falkag[2].txt Spyware:Cookie/Atlas DMT Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@atdmt[2].txt Spyware:Cookie/Doubleclick Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@doubleclick[1].txt Spyware:Cookie/Mediaplex Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@mediaplex[1].txt Spyware:Cookie/Tradedoubler Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@tradedoubler[2].txt Spyware:Cookie/Xiti Not disinfected C:\Dokumente und Einstellungen\Toby\Cookies\toby@xiti[1].txt Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\SmitfraudFix.zip[SmitfraudFix/Process.exe] Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\smitRem\Process.exe Potentially unwanted tool:Application/Processor Not disinfected C:\Dokumente und Einstellungen\Toby\Desktop\smitRem.exe[smitRem/Process.exe] Adware:Adware/PurityScan Not disinfected C:\Programme\Cowabanga\uninstaller.exe Spyware:Spyware/Virtumonde Not disinfected C:\VundoFix Backups\jkkhfgd.dll Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe |
|
|
||
29.07.2006, 02:33
Ehrenmitglied
Beiträge: 29434 |
#10
loesche:
c:\programme\ToolBar888 C:\Programme\Cowabanga C:\VundoFix Backups C:\avenger\backup-28.07.2006-23.56.11,43.zip dann sollte wieder alles o.k. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2006, 05:54
Member
Themenstarter Beiträge: 13 |
#11
oki
c:\programme\ToolBar888 *gelöscht* C:\Programme\Cowabanga *gelöscht* C:\VundoFix Backups *gelöscht aber* die datei C:\VundoFix Backups\jkkhfgd.dll konnté nicht gelöscht werden *?!?weil sie nicht da ist?!?* beim löschvorgang schlug norman dann jkkhfgd.dll - virtumonde alarm. ist das normal ? C:\avenger\backup-28.07.2006-23.56.11,43.zip *gelöscht* lg Tobyx1[/b] |
|
|
||
29.07.2006, 12:43
Ehrenmitglied
Beiträge: 29434 |
#12
avenger
Zitat registry keys to delete:poste das log http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2006, 14:25
Member
Themenstarter Beiträge: 13 |
#13
1.avenger log
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nqkyqkbq ******************* Script file located at: \??\C:\WINDOWS\iysbpkmk.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 for deletion Deletion of file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 failed! Could not process line: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winzlo32 Status: 0xc000003a Could not open file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo for deletion Deletion of file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo failed! Could not process line: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vturo Status: 0xc000003a Could not open file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd for deletion Deletion of file HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd failed! Could not process line: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkhfgd Status: 0xc000003a Completed script processing. ******************* Finished! Terminate. 2. ComboFix log Start Time= 29.07.2006 14:16:34,96 Running from: C:\Dokumente und Einstellungen\Toby\Desktop QuickScan did not find any signs of infected files (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-07-26 14:36:20 ( .D... ) "C:\Programme\Securepoint Personal Firewall" 2006-07-24 23:12:06 ( .D... ) "C:\Programme\Spybot - Search & Destroy" 2006-07-24 23:09:46 ( .D... ) "C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\Lavasoft" 2006-07-24 23:09:24 ( .D... ) "C:\Programme\Lavasoft" 2006-07-24 21:34:28 ( .D... ) "C:\Programme\FBM Software" 2006-07-24 19:57:40 ( .D... ) "C:\Programme\CleanUp!" 2006-07-23 18:15:10 32206 ( ..SH. ) "C:\Programme\Gemeinsame Dateien\Y1123OU.exe" 2006-05-29 15:45:32 ( .D... ) "C:\Programme\Windows Media Connect 2" 2006-05-23 17:25:52 402736 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll" 2006-05-22 14:01:42 47564 ( A.SHR ) "C:\NTDETECT.COM" 2006-05-19 15:09:50 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll" 2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll" 2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll" 2006-05-18 01:23:28 359120 ( A.... ) "C:\WINDOWS\WBDDB34I.DLL" 2006-05-18 01:23:28 217157 ( A.... ) "C:\WINDOWS\WWZIP34I.DLL" 2006-05-18 01:23:28 172032 ( A.... ) "C:\WINDOWS\WsBtn.dll" 2006-05-18 01:23:28 53317 ( A.... ) "C:\WINDOWS\wwsop34i.dll" 2006-05-18 01:23:28 25915 ( A.... ) "C:\WINDOWS\wilx34i.dll" 2006-05-09 02:21:30 14848 ( A.... ) "C:\WINDOWS\system32\BASSMOD.dll" 2006-05-06 00:07:22 62 ( A.SH. ) "C:\Dokumente und Einstellungen\Toby\Anwendungsdaten\desktop.ini" 2006-05-05 23:35:44 60416 ( A.... ) "C:\WINDOWS\ALCFDRTM.EXE" 2006-05-05 23:17:10 0 ( A.... ) "C:\AUTOEXEC.BAT" (((((((((((((((((((((((((((((((((((((( Files Created - Last 30days ))))))))))))))))))))))))))))))))))))))))))) 2006-07-28 02:57 53.248 C:\WINDOWS\system32\Process.exe 2006-07-28 02:57 42.496 C:\WINDOWS\system32\swreg.exe 2006-07-28 02:57 40.960 C:\WINDOWS\system32\swsc.exe 2006-07-28 02:57 288.417 C:\WINDOWS\system32\SrchSTS.exe 2006-07-24 22:18 73.728 C:\WINDOWS\system32\asuninst.exe 2006-07-24 22:18 11.776 C:\WINDOWS\system32\ZPORT4AS.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SoundMan"="SOUNDMAN.EXE" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize" "NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "Norman ZANDA"="C:\\Norman\\bin\\ZLH.EXE /LOAD /SPLASH" "Securepoint Personal Firewall"="\"C:\\Programme\\Securepoint Personal Firewall\\bin\\sppfw.exe\"" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" "Steam"="" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\"" "ZSScheduler"="RunDll32.exe \"C:\\Programme\\FBM Software\\ZeroSpyware\\ZSScheduler.dll\", runScheduler C:\\Programme\\FBM Software\\ZeroSpyware\\" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000000 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard" "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="" Contents of the 'Scheduled Tasks' folder Completion time: 29.07.2006 14:16:51,85 ComboFix ver 06.07.15/28 - This logfile is located at C:\ComboFix.txt lg Tobyx1 Dieser Beitrag wurde am 29.07.2006 um 14:34 Uhr von Tobyx1 editiert.
|
|
|
||
29.07.2006, 15:13
Ehrenmitglied
Beiträge: 29434 |
#14
1.
loesche: C:\Programme\Gemeinsame Dateien\Y1123OU.exe 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.07.2006, 19:38
Member
Themenstarter Beiträge: 13 |
#15
1. datei geköscht
2. listen.bat logfile Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Dokumente und Einstellungen\Toby\Lokale Einstellungen\Temp 29.07.2006 19:32 <DIR> . 29.07.2006 19:32 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.845.568 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\Temp 29.07.2006 14:16 <DIR> . 29.07.2006 14:16 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.845.568 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Temp 08.05.2006 18:50 <DIR> . 08.05.2006 18:50 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.841.472 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme 29.07.2006 05:40 <DIR> . 29.07.2006 05:40 <DIR> .. 06.05.2006 00:07 <DIR> Adobe 24.07.2006 19:57 <DIR> CleanUp! 05.05.2006 23:14 <DIR> ComPlus Applications 07.05.2006 15:48 <DIR> DAEMON Tools 28.07.2006 12:38 <DIR> eMule 29.07.2006 01:48 <DIR> ewido anti-malware 24.07.2006 21:34 <DIR> FBM Software 29.07.2006 00:04 <DIR> Gemeinsame Dateien 29.07.2006 01:49 <DIR> ICQLite 29.07.2006 01:49 <DIR> Internet Explorer 24.07.2006 23:09 <DIR> Lavasoft 22.05.2006 14:25 <DIR> Messenger 05.05.2006 23:17 <DIR> microsoft frontpage 23.07.2006 03:40 <DIR> mIRC 22.05.2006 14:04 <DIR> Movie Maker 05.05.2006 23:14 <DIR> MSN 05.05.2006 23:14 <DIR> MSN Gaming Zone 22.05.2006 12:19 <DIR> Nero 22.05.2006 14:03 <DIR> NetMeeting 05.05.2006 23:14 <DIR> Online Services 05.05.2006 23:16 <DIR> Online-Dienste 22.05.2006 14:25 <DIR> Outlook Express 09.05.2006 00:44 <DIR> PC Inspector File Recovery 09.05.2006 02:17 <DIR> PhotoRescue Pro 09.05.2006 01:29 <DIR> PowerQuest 09.05.2006 00:28 <DIR> recover 26.07.2006 14:36 <DIR> Securepoint Personal Firewall 26.05.2006 16:39 <DIR> Security Task Manager 08.05.2006 15:54 <DIR> Spiele 29.07.2006 01:55 <DIR> Spybot - Search & Destroy 22.05.2006 11:46 <DIR> tools 29.05.2006 15:45 <DIR> Windows Media Connect 2 29.05.2006 15:44 <DIR> Windows Media Player 22.05.2006 14:03 <DIR> Windows NT 29.07.2006 01:55 <DIR> WinRAR 05.05.2006 23:17 <DIR> xerox 0 Datei(en) 0 Bytes 38 Verzeichnis(se), 51.524.841.472 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\system32\components 28.07.2006 02:57 <DIR> . 28.07.2006 02:57 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.841.472 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.04.2006 17:10 135.168 asinst.dll 03.04.2006 11:00 537 asinst.inf 27.03.2006 13:00 5.019 swflash.inf 29.04.2005 17:24 155.648 zylomgamesplayer.dll 25.03.2005 17:17 244 ZylomGamesPlayer.inf 5 Datei(en) 296.616 Bytes 0 Verzeichnis(se), 51.524.841.472 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme\Gemeinsame Dateien 29.07.2006 00:04 <DIR> . 29.07.2006 00:04 <DIR> .. 08.05.2006 15:01 <DIR> Adobe 22.05.2006 12:21 <DIR> Ahead 05.05.2006 23:15 <DIR> Dienste 22.05.2006 14:52 <DIR> InstallShield 29.05.2006 15:46 <DIR> Microsoft Shared 05.05.2006 23:15 <DIR> MSSoap 06.05.2006 00:07 <DIR> ODBC 06.05.2006 00:07 <DIR> SpeechEngines 22.05.2006 14:25 <DIR> System 0 Datei(en) 0 Bytes 11 Verzeichnis(se), 51.524.837.376 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme\FBM Software 24.07.2006 21:34 <DIR> . 24.07.2006 21:34 <DIR> .. 24.07.2006 22:23 <DIR> ZeroSpyware 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 51.524.837.376 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme\FBM Software\ZeroSpyware 24.07.2006 22:23 <DIR> . 24.07.2006 22:23 <DIR> .. 24.07.2006 21:40 <DIR> BackUp 24.07.2006 21:40 564 bhowl.dat 24.07.2006 21:54 <DIR> Diagnostics 24.07.2006 21:39 1 EnableQuickScan.dat 24.07.2006 21:53 73 exList.dat 24.07.2006 21:34 1.575 filecrcs.dat 24.07.2006 21:40 <DIR> glvLog 24.07.2006 21:53 <DIR> logdata 24.07.2006 21:53 3.099 res.dat 24.07.2006 21:53 6.810 rprt.dat 24.07.2006 21:40 0 schsc.tmp 24.07.2006 21:40 0 usrsc.tmp 8 Datei(en) 12.122 Bytes 6 Verzeichnis(se), 51.524.837.376 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Dokumente und Einstellungen\Toby\Lokale Einstellungen\Temp 29.07.2006 19:32 <DIR> . 29.07.2006 19:32 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.825.088 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\Temp 29.07.2006 14:16 <DIR> . 29.07.2006 14:16 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.825.088 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Temp 08.05.2006 18:50 <DIR> . 08.05.2006 18:50 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.825.088 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme 29.07.2006 05:40 <DIR> . 29.07.2006 05:40 <DIR> .. 06.05.2006 00:07 <DIR> Adobe 24.07.2006 19:57 <DIR> CleanUp! 05.05.2006 23:14 <DIR> ComPlus Applications 07.05.2006 15:48 <DIR> DAEMON Tools 28.07.2006 12:38 <DIR> eMule 29.07.2006 01:48 <DIR> ewido anti-malware 24.07.2006 21:34 <DIR> FBM Software 29.07.2006 19:37 <DIR> Gemeinsame Dateien 29.07.2006 01:49 <DIR> ICQLite 29.07.2006 01:49 <DIR> Internet Explorer 24.07.2006 23:09 <DIR> Lavasoft 22.05.2006 14:25 <DIR> Messenger 05.05.2006 23:17 <DIR> microsoft frontpage 23.07.2006 03:40 <DIR> mIRC 22.05.2006 14:04 <DIR> Movie Maker 05.05.2006 23:14 <DIR> MSN 05.05.2006 23:14 <DIR> MSN Gaming Zone 22.05.2006 12:19 <DIR> Nero 22.05.2006 14:03 <DIR> NetMeeting 05.05.2006 23:14 <DIR> Online Services 05.05.2006 23:16 <DIR> Online-Dienste 22.05.2006 14:25 <DIR> Outlook Express 09.05.2006 00:44 <DIR> PC Inspector File Recovery 09.05.2006 02:17 <DIR> PhotoRescue Pro 09.05.2006 01:29 <DIR> PowerQuest 09.05.2006 00:28 <DIR> recover 26.07.2006 14:36 <DIR> Securepoint Personal Firewall 26.05.2006 16:39 <DIR> Security Task Manager 08.05.2006 15:54 <DIR> Spiele 29.07.2006 01:55 <DIR> Spybot - Search & Destroy 22.05.2006 11:46 <DIR> tools 29.05.2006 15:45 <DIR> Windows Media Connect 2 29.05.2006 15:44 <DIR> Windows Media Player 22.05.2006 14:03 <DIR> Windows NT 29.07.2006 01:55 <DIR> WinRAR 05.05.2006 23:17 <DIR> xerox 0 Datei(en) 0 Bytes 38 Verzeichnis(se), 51.524.820.992 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\system32\components 28.07.2006 02:57 <DIR> . 28.07.2006 02:57 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 51.524.820.992 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.04.2006 17:10 135.168 asinst.dll 03.04.2006 11:00 537 asinst.inf 27.03.2006 13:00 5.019 swflash.inf 29.04.2005 17:24 155.648 zylomgamesplayer.dll 25.03.2005 17:17 244 ZylomGamesPlayer.inf 5 Datei(en) 296.616 Bytes 0 Verzeichnis(se), 51.524.820.992 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme\Gemeinsame Dateien 29.07.2006 19:37 <DIR> . 29.07.2006 19:37 <DIR> .. 08.05.2006 15:01 <DIR> Adobe 22.05.2006 12:21 <DIR> Ahead 05.05.2006 23:15 <DIR> Dienste 22.05.2006 14:52 <DIR> InstallShield 29.05.2006 15:46 <DIR> Microsoft Shared 05.05.2006 23:15 <DIR> MSSoap 06.05.2006 00:07 <DIR> ODBC 06.05.2006 00:07 <DIR> SpeechEngines 22.05.2006 14:25 <DIR> System 0 Datei(en) 0 Bytes 11 Verzeichnis(se), 51.524.820.992 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme\FBM Software 24.07.2006 21:34 <DIR> . 24.07.2006 21:34 <DIR> .. 24.07.2006 22:23 <DIR> ZeroSpyware 0 Datei(en) 0 Bytes 3 Verzeichnis(se), 51.524.820.992 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 14F5-610B Verzeichnis von C:\Programme\FBM Software\ZeroSpyware 24.07.2006 22:23 <DIR> . 24.07.2006 22:23 <DIR> .. 24.07.2006 21:40 <DIR> BackUp 24.07.2006 21:40 564 bhowl.dat 24.07.2006 21:54 <DIR> Diagnostics 24.07.2006 21:39 1 EnableQuickScan.dat 24.07.2006 21:53 73 exList.dat 24.07.2006 21:34 1.575 filecrcs.dat 24.07.2006 21:40 <DIR> glvLog 24.07.2006 21:53 <DIR> logdata 24.07.2006 21:53 3.099 res.dat 24.07.2006 21:53 6.810 rprt.dat 24.07.2006 21:40 0 schsc.tmp 24.07.2006 21:40 0 usrsc.tmp 8 Datei(en) 12.122 Bytes 6 Verzeichnis(se), 51.524.820.992 Bytes frei und ein weiteres *zwischendanke* |
|
|
||
ich hoffe ihr könnt mir auch bei meinem prob helfen ....
Logfile of HijackThis v1.99.1
Scan saved at 17:43:22, on 24.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ismon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Norman\Bin\Zanda.exe
C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\bin\NJEEVES.EXE
C:\Norman\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Norman\Nvc\bin\cclaw.exe
C:\Programme\Schönherr Personal Firewall\bin\sppfw.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Toby\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/8d1745a01cf6b6ca31f7adfaa8a34f63_35.exe
O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - http://download.cdn.winsoftware.com/files/installers/cab/WinAntiVirusPro2006FreeInstall_de.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Zango/ie/bridge-c11.cab?208767ecc5d9f31c5c47
a19f2fef898a15ce15cbe860a04894cee057661290c3a68cdf0ff8847d2387663283798
6410c962c9374da90403ae3ed4
921eb1e2d71a8e6f10f48c4:d85e8a99337c1cb7f46c5aa8b2e9db8e
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4BF12EB-24EF-4800-AE16-A8F9B468242B}: NameServer = 62.220.18.8 62.72.64.241
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Schönherr Personal Firewall\driver\spfirewallsvc.exe
ewido hat mich drauf aufmerksam gemacht konnte es aber nicht *vollständig* entfernen ... kommt also bei jedem neustart sowie bei jedem öffnen vom IE
habe festplatten mit norman gescanned ... er hat das prob auch erkannt und auch entfernt. nach dem neustart war es aber wieder bei ewido zu finden
Security Task Manager sagt mir das die datei potenziell gefählich ist .. kann sie aber nicht löschen *verschieben*
also wenn ihr wisst wie ich das nervende prob wieder loswerde ..... bin für jede hilfe dankbar
lg
Toby