Zusätzliche Toolbar in I-Explorer sowie dem normalen Explorer

#1 Hi Leute,
habe mir wohl einen Hijacker eingefangen, sowohl mein CWShredder als auch mein Spybot hängen sich nach einer Zeit auf....
Mein Spybot bleibt bei CWs.Coolsearch stehen...
Hier mein Hijackthis - Log :

Logfile of HijackThis v1.99.0
Scan saved at 16:57:02, on 07.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp5.3\winampa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Winamp5.3\winamp.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe
C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5B18469E-450C-4949-888F-53156F293BBE}.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5B18469E-450C-4949-888F-53156F293BBE}.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp5.3\winampa.exe
O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{58D5B4AB-AD05-4CBC-A149-48AA19E9AC4B}: NameServer = 85.255.115.29,85.255.112.211
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B71ED88-15CD-4A35-AE7B-EE564CC2ACA2}: NameServer = 85.255.115.29,85.255.112.211
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.211
O17 - HKLM\System\CS1\Services\Tcpip\..\{58D5B4AB-AD05-4CBC-A149-48AA19E9AC4B}: NameServer = 85.255.115.29,85.255.112.211
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.211
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Würde mich mal wieder über Hilfe freuen...

#2 SteffenK

http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei -> hier posten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html


Download FixWareout
http://downloads.subratam.org/Fixwareout.exe
Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Fixwareout ver 1.003
Last edited 07/1/2006
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}FE8220A05FFE-D168-D0A4-871B-78A33345{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1C2411E54E1B-549B-01A4-6925-3FE579E7{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}0E754B39939C-0B19-29C4-2D8C-4BBC2358{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}2693065ACCAB-E3FB-08C4-228B-CFF034E9{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}763FB7A6F185-4E89-7BE4-553D-3987778C{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}37FAEE9A923D-5D1B-16E4-759A-C582AE68{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}B39AF952E07B-6D09-E324-9B19-D3A24167{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\cavmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
...

Random Runs removed from HKLM
"dmvac.exe"=-
...

PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Example ipsec6.exe is legitimate

»»»»» Search by size and names...
* csr.exe C:\WINDOWS\System32\CSTZM.EXE

»»»»» Misc files
* thequicklink C:\WINDOWS\System32\{5B184~1.DLL

»»»»» Checking for older varients covered by the Rem3 tool

»»»»»
Search five digit cs, dm and jb files
This WILL/CAN also list Legit Files, Submit them at Virustotal
C:\WINDOWS\SYSTEM32\CSTZM.EXE 51.237 2006-08-03
C:\WINDOWS\SYSTEM32\DMVAC.EXE 62.023 2002-08-29
Other suspects
Directory of C:\WINDOWS\system32
{5B18469E-450C-4949-888F-53156F293BBE}.dll
{86EA285C-A957-4E61-B1D5-D329A9EEAF73}.exe
{C8777893-D355-4EB7-98E4-581F6A7BF367}.exe
{9E430FFC-B822-4C80-BF3E-BACCA5603962}.exe
{8532CBB4-C8D2-4C92-91B0-C93993B457E0}.exe
{7E975EF3-5296-4A10-B945-B1E45E1142C1}.exe


08/08/06 08:02:25 [Info]: BlackLight Engine 1.0.42 initialized
08/08/06 08:02:25 [Info]: OS: 5.1 build 2600 (Service Pack 1)
08/08/06 08:02:25 [Note]: 7019 4
08/08/06 08:02:25 [Note]: 7005 0
08/08/06 08:02:28 [Note]: 7006 0
08/08/06 08:02:28 [Note]: 7011 1692
08/08/06 08:02:28 [Note]: 7026 0
08/08/06 08:02:28 [Note]: 7026 0
08/08/06 08:02:35 [Note]: FSRAW library version 1.7.1019
08/08/06 08:05:00 [Info]: Hidden file: c:\WINDOWS\system32\dmmeb.exe
08/08/06 08:05:00 [Note]: 7002 32
08/08/06 08:05:00 [Note]: 7003 1
08/08/06 08:05:00 [Note]: 10002 1
08/08/06 08:05:04 [Info]: Hidden file: c:\WINDOWS\system32\csktx.exe
08/08/06 08:05:04 [Note]: 7002 32
08/08/06 08:05:04 [Note]: 7003 1
08/08/06 08:05:04 [Note]: 10002 1
08/08/06 08:05:05 [Info]: Hidden file: c:\WINDOWS\system32\{7E975EF3-5296-4A10-B945-B1E45E1142C1}.exe
08/08/06 08:05:05 [Note]: 10002 1
08/08/06 08:05:05 [Info]: Hidden file: c:\WINDOWS\system32\{8532CBB4-C8D2-4C92-91B0-C93993B457E0}.exe
08/08/06 08:05:05 [Note]: 10002 1
08/08/06 08:05:05 [Info]: Hidden file: c:\WINDOWS\system32\{86EA285C-A957-4E61-B1D5-D329A9EEAF73}.exe
08/08/06 08:05:05 [Note]: 10002 1
08/08/06 08:05:05 [Info]: Hidden file: c:\WINDOWS\system32\{9E430FFC-B822-4C80-BF3E-BACCA5603962}.exe
08/08/06 08:05:05 [Note]: 10002 1
08/08/06 08:05:05 [Info]: Hidden file: c:\WINDOWS\system32\{C8777893-D355-4EB7-98E4-581F6A7BF367}.exe
08/08/06 08:05:05 [Note]: 10002 1
08/08/06 08:25:18 [Note]: 7007 0


System.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\WINDOWS

08.08.2006 20:27 0 0.log
08.08.2006 20:26 2.048 bootstat.dat
08.08.2006 08:26 32.640 SchedLgU.Txt
08.08.2006 08:00 4.456 rdt.ini
03.08.2006 19:34 63.003 wmsetup.log
03.08.2006 19:25 6.400 balloon.wav
03.08.2006 17:22 994 dokop301.ini
31.07.2006 21:24 30.815 scunin.dat
31.07.2006 21:24 967 ScUnin.pif
31.07.2006 21:24 70.656 ScUnin.exe
31.07.2006 20:47 55 cdplayer.ini
17.07.2006 08:43 569 win.ini
09.06.2006 10:14 132 winamp.ini
14.05.2006 11:53 21.429 setupapi.log
20.03.2006 20:47 50 wiaservc.log

sys.txt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\

08.08.2006 20:30 0 sys.txt
08.08.2006 20:30 4.284 system.txt
08.08.2006 20:30 297 systemtemp.txt
08.08.2006 20:29 101.718 system32.txt
08.08.2006 20:26 1.409.286.144 pagefile.sys
03.10.2005 15:29 728 rkfileslog.txt
03.10.2005 15:15 0 windows.txt
03.10.2005 15:14 216 win.txt
03.10.2005 15:11 0 start.txt
25.08.2005 07:00 5.329 CLDMA.LOG
25.07.2005 12:04 47.580 NTDETECT.COM
25.07.2005 12:04 235.296 ntldr
25.07.2005 11:20 194 boot.ini
24.07.2005 22:01 0 z.t
16.06.2005 17:16 194 $$$_.log

System32.txt :

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\WINDOWS\system32

08.08.2006 20:26 41.237 nvapps.xml
06.08.2006 21:00 2.184 wpa.dbl
03.08.2006 19:25 155.648 {5B18469E-450C-4949-888F-53156F293BBE}.dll
16.06.2006 14:34 48.936 sirenacm.dll
29.05.2006 12:25 145.216 FNTCACHE.DAT
16.05.2006 22:23 28.672 vxblock.dll
16.05.2006 22:23 339.968 pxwave.dll
16.05.2006 22:23 61.440 pxhpinst.exe
16.05.2006 22:23 450.560 pxdrv.dll

systemtemp.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\DOKUME~1\STEFFE~1.PRO\LOKALE~1\Temp

07.08.2006 20:52 0 fla3F.tmp
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 11.258.187.776 Bytes frei


Hmm, also die Toolbar ist nun verschwunden, nachdem die Programme durchgelaufen sind, ob damit auch der Hijacker verschwunden ist weiss ich jedoch nicht...

#4 SteffenK

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\KillAndClean" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

-------------------------------------------------------------------------------------

ist fuer mich, beachte es nicht..sind die Viren, aber mir fehlen noch daten........

c:\WINDOWS\rdt.ini
c:\WINDOWS\balloon.wav
c:\WINDOWS\system32\csktx.exe
c:\WINDOWS\system32\dmvac.exe
c:\WINDOWS\system32\dmmeb.exe
c:\WINDOWS\system32\{7E975EF3-5296-4A10-B945-B1E45E1142C1}.exe
c:\WINDOWS\system32\{8532CBB4-C8D2-4C92-91B0-C93993B457E0}.exe
c:\WINDOWS\system32\{86EA285C-A957-4E61-B1D5-D329A9EEAF73}.exe
c:\WINDOWS\system32\{9E430FFC-B822-4C80-BF3E-BACCA5603962}.exe
c:\WINDOWS\system32\{C8777893-D355-4EB7-98E4-581F6A7BF367}.exe
C:\WINDOWS\SYSTEM32\CSTZM.EXE
C:\WINDOWS\SYSTEM32\DMVAC.EXE
c:\WINDOWS\system32\{5B18469E-450C-4949-888F-53156F293BBE}.dll


«

dann beginnt die reinigung und ich hoffe, dann wird die Internetverbindung auch nicht mehr in die Ukraine umgeleitet...wie es zur Zeit geschieht.........
man darf eben nicht auf KillAndClean klicken, wenn man sein System mag.............
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp

07.10.2005 17:22 <DIR> .
07.10.2005 17:22 <DIR> ..
26.02.2005 12:30 <DIR> .zylominstallertemp1109413830
01.02.2005 14:34 <DIR> .zylomtemp1107261276
25.07.2005 10:42 0 10F0E.dmp
08.02.2005 14:53 44.144 15_8.wav
08.02.2005 14:52 44.144 16_15.wav
08.02.2005 14:53 44.144 2_1.wav
08.02.2005 14:52 22.094 396.wav
08.02.2005 14:52 44.144 3_2.wav
26.10.2004 10:47 0 42102B.dmp
08.02.2005 14:52 44.144 4_3.wav
08.02.2005 14:53 44.144 5_3.wav
08.02.2005 14:52 44.144 5_4-1.wav
08.02.2005 14:52 44.144 5_4.wav
08.02.2005 14:52 44.144 6_5-1.wav
08.02.2005 14:52 44.144 6_5.wav
08.02.2005 14:53 44.144 8_5.wav
08.02.2005 14:53 44.144 9_5.wav
08.02.2005 14:52 44.144 9_8.wav
25.07.2005 09:18 80.039 A2D7.dmp
22.06.2004 15:57 <DIR> Adobe
10.08.2004 13:44 522 advchk.iss
16.10.2004 13:18 <DIR> alocale
16.10.2004 13:18 <DIR> AutoRun
30.08.2004 14:20 634.880 AutoRun.exe
30.08.2004 14:20 95 autorun.inf
19.08.2004 09:14 557.056 AutoRunGUI.dll
06.04.2000 14:00 263.168 binkw32.dll
08.06.1992 03:50 45.488 BWCC.PAK
19.06.2004 11:38 37.327 BWInstall.log
27.07.2004 22:00 36.864 CmdLineExt02.dll
21.07.2004 13:40 40.448 CmdLineExt03.dll
01.09.2004 17:48 103.533 CodecSettings.reg
30.08.2004 14:20 6.244 common_filelist.txt
30.08.2004 14:16 20.751 config.dat
07.07.2005 14:59 10.538 control.xml
02.03.2004 20:17 748.152 Core.dll
02.03.2004 20:18 3.612 Core.int
19.05.2001 18:04 397.312 d2l_Install.exe
16.10.2004 13:19 <DIR> data
02.03.2004 20:17 489.984 dbghelp.dll
25.07.2005 11:00 0 DC08.dmp
03.07.2004 14:16 <DIR> Default
08.06.1992 03:50 5 DISK1.DSK
08.06.1992 03:50 5 DISK2.DSK
08.06.1992 03:50 5 DISK3.DSK
08.06.1992 03:50 5 DISK4.DSK
08.06.1992 03:50 5 DISK5.DSK
08.06.1992 03:50 5 DISK6.DSK
28.06.2004 13:55 81.920 DLL4Wise.dll
08.06.1992 03:50 85.886 DOC.PAK
08.06.1992 03:50 41.175 DOCDEMOS.PAK
02.02.2005 16:04 45 e.gif
30.08.2004 14:20 327.680 eauninstall.exe
02.03.2004 20:18 4.561.528 Engine.dll
18.08.2004 10:33 7.178 external.txt
30.08.2004 14:00 3.887.104 fifa2005_demo.exe
22.07.2004 14:08 23.558 fifapc.ico
08.06.1992 03:50 1.637 FILEINFO.INI
08.06.1992 03:50 15.605 FILELIST.DOC
16.10.2004 13:19 6.299 filelist.txt
18.08.2004 10:33 1.453.843 First15.exe
21.09.2004 19:17 <DIR> FrontPageTempDir
19.07.2005 22:41 4.868.310 FtH_Interface_v0.97.rar
02.07.2005 19:40 35.500 galerie9937.jpg
13.08.2002 08:34 41.737 GSAEULA.TXT
08.06.1992 03:50 35.348 HELPEX.PAK
24.07.2005 20:45 <DIR> hsperfdata_Steffen
19.06.2004 11:38 24.576 IadHide4.dll
21.05.2004 14:25 24.576 IadHide4.dll.av
18.10.2004 16:47 <DIR> ICD1.tmp
25.07.2005 09:49 <DIR> ICD2.tmp
03.04.2005 14:26 2.412 IDSinst.LOG
02.03.2004 20:18 237.568 IFC23.dll
19.07.2005 21:55 295.441 IMG_1080.jpg
08.06.1992 03:50 6.800 INSTALL.EXE
08.06.1992 03:50 165.180 INSTALL.LZ
02.03.2004 20:17 29.288 InstallerLogo.bmp
04.06.2005 20:33 <DIR> iss6.tmp
05.06.2005 18:08 <DIR> iss7.tmp
20.12.2004 20:51 47.856 java_install.log
23.01.2005 20:03 769 jupdate1.4.2.xml
29.01.2005 11:37 49.582 jusched.log
01.09.2004 17:49 60.897 lang_de.qm
01.09.2004 17:49 61.969 lang_fr.qm
01.09.2004 17:49 34.251 lang_ja.qm
10.08.2004 13:43 4.059 LSInstall.log
29.10.2004 12:32 48.651 Manifest.ini
26.02.2005 12:30 4.128 miunst_.exe
23.02.2005 16:44 21.654 Mozart WA-Funaral March.pdf
15.11.2004 00:23 93.628 MSI3461f.LOG
28.10.2004 21:19 296 MSIc6c2b.LOG
10.03.2005 00:08 93.586 MSIc7cf7.LOG
15.09.2004 16:44 93.604 MSId6ac9.LOG
09.03.2005 22:19 1.220 mso108.wmf
27.02.2005 14:49 314 mso118.wmf
09.03.2005 21:55 330 mso128.wmf
09.03.2005 21:59 884 mso137.wmf
27.02.2005 14:22 790 mso156.wmf
27.02.2005 14:22 790 mso157.wmf
27.02.2005 14:43 1.410 mso158.wmf
09.03.2005 21:52 206 mso166.wmf
09.03.2005 22:12 550 mso167.wmf
09.03.2005 22:12 550 mso168.wmf
27.02.2005 14:22 1.410 mso176.wmf
09.03.2005 22:12 826 mso177.wmf
09.03.2005 22:12 550 mso178.wmf
27.02.2005 14:45 1.942 mso185.wmf
27.02.2005 14:50 402 mso186.wmf
09.03.2005 22:12 658 mso187.wmf
09.03.2005 22:12 1.942 mso188.wmf
09.03.2005 22:12 402 mso189.wmf
09.03.2005 22:12 490 mso18A.wmf
27.02.2005 14:50 402 mso195.wmf
09.03.2005 21:53 162 mso196.wmf
27.02.2005 14:46 314 mso1C4.wmf
09.03.2005 21:57 748 mso1C5.wmf
09.03.2005 21:57 596 mso1D3.wmf
27.02.2005 14:43 550 mso1E.wmf
27.02.2005 14:14 314 mso1E3.wmf
27.02.2005 14:42 774 mso1E4.wmf
27.02.2005 14:46 314 mso1E5.wmf
09.03.2005 21:57 640 mso1E6.wmf
27.02.2005 18:16 4.014 mso1F.wmf
27.02.2005 14:50 402 mso1F3.wmf
09.03.2005 21:57 596 mso1F4.wmf
09.03.2005 21:50 1.348 mso20.wmf
27.02.2005 14:45 658 mso212.wmf
27.02.2005 14:14 1.094 mso231.wmf
09.03.2005 21:55 418 mso241.wmf
27.02.2005 14:50 418 mso250.wmf
15.03.2005 16:53 660 mso251.wmf
27.02.2005 14:20 874 mso260.wmf
27.02.2005 14:20 642 mso261.wmf
09.03.2005 21:56 596 mso262.wmf
27.02.2005 14:20 1.942 mso270.wmf
27.02.2005 14:20 834 mso271.wmf
27.02.2005 14:20 746 mso272.wmf
27.02.2005 14:43 718 mso273.wmf
27.02.2005 14:44 1.030 mso274.wmf
27.02.2005 14:20 762 mso27F.wmf
27.02.2005 14:50 434 mso280.wmf
27.02.2005 14:42 1.006 mso28F.wmf
27.02.2005 14:43 566 mso290.wmf
27.02.2005 14:49 510 mso291.wmf
09.03.2005 21:58 884 mso292.wmf
09.03.2005 22:12 550 mso293.wmf
09.03.2005 22:12 434 mso294.wmf
09.03.2005 22:12 490 mso295.wmf
09.03.2005 22:12 722 mso29F.wmf
09.03.2005 22:12 550 mso2A0.wmf
09.03.2005 22:12 874 mso2A1.wmf
27.02.2005 14:43 1.410 mso2AE.wmf
27.02.2005 14:44 746 mso2AF.wmf
09.03.2005 22:12 1.410 mso2B0.wmf
09.03.2005 22:12 490 mso2B1.wmf
09.03.2005 22:12 490 mso2B2.wmf
09.03.2005 21:53 552 mso2BE.wmf
09.03.2005 22:12 402 mso2BF.wmf
09.03.2005 22:12 402 mso2C0.wmf
09.03.2005 22:12 402 mso2C1.wmf
09.03.2005 22:12 418 mso2C2.wmf
09.03.2005 22:12 490 mso2C3.wmf
27.02.2005 14:45 826 mso2CD.wmf
27.02.2005 18:35 586 mso2CE.wmf
09.03.2005 22:12 4.014 mso2CF.wmf
27.02.2005 14:28 4.014 mso2DD.wmf
27.02.2005 14:49 314 mso2DE.wmf
27.02.2005 14:50 402 mso2DF.wmf
27.02.2005 14:43 718 mso2E.wmf
27.02.2005 14:14 3.590 mso2ED.wmf
27.02.2005 14:42 1.022 mso2EE.wmf
27.02.2005 14:45 162 mso2EF.wmf
27.02.2005 18:36 722 mso2F.wmf
09.03.2005 22:12 490 mso2F0.wmf
09.03.2005 21:59 884 mso2FC.wmf
09.03.2005 22:12 692 mso2FD.wmf
27.02.2005 14:45 626 mso30C.wmf
09.03.2005 21:59 884 mso30D.wmf
09.03.2005 22:12 402 mso30E.wmf
27.02.2005 14:17 3.606 mso31C.wmf
27.02.2005 14:45 1.942 mso31D.wmf
27.02.2005 14:50 402 mso31E.wmf
27.02.2005 18:24 658 mso31F.wmf
09.03.2005 21:54 162 mso320.wmf
27.02.2005 14:42 718 mso32B.wmf
09.03.2005 21:56 596 mso32C.wmf
09.03.2005 21:59 884 mso32D.wmf
27.02.2005 14:45 762 mso33B.wmf
27.02.2005 19:54 490 mso33C.wmf
27.02.2005 14:45 818 mso34A.wmf
09.03.2005 21:56 640 mso34B.wmf
27.02.2005 14:48 314 mso35A.wmf
27.02.2005 14:50 402 mso36A.wmf
09.03.2005 21:57 760 mso36B.wmf
09.03.2005 21:58 796 mso36C.wmf
09.03.2005 21:58 796 mso379.wmf
09.03.2005 21:59 884 mso37A.wmf
09.03.2005 22:00 884 mso37B.wmf
27.02.2005 14:48 162 mso389.wmf
09.03.2005 22:12 402 mso38A.wmf
27.02.2005 14:51 402 mso399.wmf
27.02.2005 14:43 1.174 mso3A8.wmf
27.02.2005 14:50 434 mso3A9.wmf
27.02.2005 14:51 402 mso3AA.wmf
09.03.2005 22:12 478 mso3AB.wmf
27.02.2005 14:45 826 mso3B8.wmf
09.03.2005 22:12 550 mso3B9.wmf
09.03.2005 21:50 490 mso3D.wmf
27.02.2005 14:20 550 mso3D7.wmf
27.02.2005 14:20 810 mso3D8.wmf
27.02.2005 14:20 490 mso3D9.wmf
27.02.2005 14:20 434 mso3DA.wmf
27.02.2005 14:42 1.022 mso3DB.wmf
27.02.2005 14:43 1.174 mso3DC.wmf
09.03.2005 22:12 538 mso3DD.wmf
09.03.2005 21:49 1.552 mso3E7.wmf
27.02.2005 14:50 402 mso4D.wmf
09.03.2005 21:52 162 mso4E.wmf
09.03.2005 21:59 884 mso4F.wmf
27.02.2005 14:43 774 mso5C.wmf
27.02.2005 14:43 1.394 mso5D.wmf
27.02.2005 14:45 1.926 mso5E.wmf
27.02.2005 14:50 402 mso5F.wmf
27.02.2005 14:43 538 mso6C.wmf
27.02.2005 14:43 550 mso6D.wmf
09.03.2005 21:50 402 mso6E.wmf
27.02.2005 14:46 314 mso7C.wmf
27.02.2005 19:53 490 mso7D.wmf
09.03.2005 21:50 314 mso7E.wmf
27.02.2005 18:35 550 mso8B.wmf
09.03.2005 21:49 718 mso8C.wmf
09.03.2005 21:58 884 mso8D.wmf
27.02.2005 14:46 826 mso9B.wmf
27.02.2005 14:46 1.942 mso9C.wmf
09.03.2005 21:50 402 mso9D.wmf
09.03.2005 21:57 776 mso9E.wmf
27.02.2005 18:35 446 msoAB.wmf
09.03.2005 21:49 766 msoBA.wmf
27.02.2005 14:43 1.190 msoCA.wmf
09.03.2005 21:50 1.196 msoCB.wmf
09.03.2005 21:55 162 msoCC.wmf
02.05.2005 18:54 <DIR> msoclip1
27.02.2005 14:50 434 msoD9.wmf
27.02.2005 14:50 402 msoDA.wmf
09.03.2005 21:50 706 msoDB.wmf
27.02.2005 14:28 4.014 msoF9.wmf
27.02.2005 14:44 690 msoFA.wmf
09.03.2005 21:56 596 msoFB.wmf
02.03.2004 20:18 348.160 MSVCR71.dll
10.08.2004 13:44 268 NAVLiveReg.dat
24.07.2005 22:02 2.548.124 ndif.exe
22.05.2005 21:27 747 NDr6E.tmp.html
10.03.2005 23:53 746 NDr9A.tmp.html
10.03.2005 23:53 746 NDr9C.tmp.html
10.03.2005 23:53 746 NDr9E.tmp.html
10.03.2005 23:53 746 NDr9F.tmp.html
10.03.2005 23:54 746 NDrA1.tmp.html
10.03.2005 23:54 746 NDrA2.tmp.html
10.03.2005 23:55 746 NDrA6.tmp.html
10.03.2005 23:56 746 NDrAB.tmp.html
10.03.2005 23:57 746 NDrB0.tmp.html
11.03.2005 00:09 746 NDrE8.tmp.html
11.03.2005 00:09 746 NDrE9.tmp.html
11.03.2005 00:09 746 NDrEE.tmp.html
11.03.2005 00:10 746 NDrF0.tmp.html
11.03.2005 00:10 746 NDrF1.tmp.html
11.03.2005 00:10 746 NDrF2.tmp.html
11.03.2005 00:12 754 NDrFA.tmp.html
28.07.2004 13:20 2.442.722 Norton AntiVirus 2004 Professional 7-28-2004 13h18m9s.log
28.07.2004 14:33 1.589.850 Norton AntiVirus 2004 Professional 7-28-2004 14h32m0s.log
28.07.2004 14:37 2.439.900 Norton AntiVirus 2004 Professional 7-28-2004 14h35m14s.log
28.07.2004 14:46 1.586.180 Norton AntiVirus 2004 Professional 7-28-2004 14h44m51s.log
28.07.2004 14:55 2.439.974 Norton AntiVirus 2004 Professional 7-28-2004 14h52m52s.log
10.08.2004 13:40 1.585.938 Norton AntiVirus 2004 Professional 8-10-2004 13h39m2s.log
10.08.2004 13:45 2.439.846 Norton AntiVirus 2004 Professional 8-10-2004 13h43m12s.log
30.12.2001 16:57 5.632 nsisdt.dll
20.02.2005 21:08 319 Office 2000 Premium Setup(0001).txt
24.02.2005 12:14 1.557 Office 2000 Premium Setup(0003).txt
02.03.2004 20:18 13.944 ogg.dll
24.07.2005 22:01 42.045 oocf.exe
14.10.2004 23:22 1.051 Outlook Startup.Log
08.06.1992 03:50 79.789 OWL.PAK
08.06.1992 03:50 195.017 OWLDEMOS.PAK
08.06.1992 03:50 27.797 PAINT.PAK
08.06.1992 03:50 263.108 PENWIN.PAK
21.05.2005 12:38 16.384 Perflib_Perfdata_6f8.dat
08.05.2005 12:18 16.384 Perflib_Perfdata_6fc.dat
18.05.2005 14:18 16.384 Perflib_Perfdata_708.dat
05.05.2005 21:02 16.384 Perflib_Perfdata_70c.dat
12.04.2005 13:27 16.384 Perflib_Perfdata_714.dat
15.05.2005 17:29 16.384 Perflib_Perfdata_718.dat
23.05.2005 13:44 16.384 Perflib_Perfdata_71c.dat
04.06.2005 20:38 16.384 Perflib_Perfdata_724.dat
29.04.2005 17:27 16.384 Perflib_Perfdata_72c.dat
06.05.2005 11:32 16.384 Perflib_Perfdata_730.dat
20.05.2005 22:26 16.384 Perflib_Perfdata_734.dat
17.04.2005 00:00 16.384 Perflib_Perfdata_73c.dat
16.04.2005 22:45 16.384 Perflib_Perfdata_740.dat
16.04.2005 15:18 16.384 Perflib_Perfdata_744.dat
26.03.2005 18:01 16.384 Perflib_Perfdata_748.dat
01.04.2005 17:10 16.384 Perflib_Perfdata_760.dat
24.07.2005 22:01 227 pi.sys
08.06.2005 16:02 322 prepatch.log
28.07.2004 14:52 2.351 prescan.log
24.07.2005 22:02 2.026.700 PSGuardInstall.exe
08.06.2005 16:02 51.757.047 PTCPatch.exe
15.11.2004 15:32 <DIR> RarSFX0
09.12.2004 16:21 <DIR> RarSFX1
16.10.2004 13:19 <DIR> ReadMe
08.06.1992 03:50 4.217 README.COM
03.07.2004 14:40 150 RN1A.htm
08.06.1992 03:50 353.417 RW.PAK
08.06.1992 03:50 47.406 RWDEMOS.PAK
08.06.1992 03:50 39.009 RWDOC.PAK
08.06.1992 03:50 224.660 RWED.PAK
08.06.1992 03:50 278.462 RWLIB.PAK
28.07.2004 14:52 1.988 scanresults.txt
07.10.2005 17:22 <DIR> Sctw
02.03.2004 20:18 445.048 setup.exe
02.03.2004 20:18 8.846 Setup.int
10.08.2004 13:44 168 setup.log
18.08.2004 10:33 32.295 Sims2Logo.jpg
27.07.2004 22:06 12.067 SIntf16.dll
27.07.2004 22:06 19.924 SIntf32.dll
27.07.2004 22:06 4.592 SIntfIcn.ani
27.07.2004 22:06 24.516 SIntfNT.dll
03.04.2005 14:26 1.800 SNDSetup544.log
03.04.2005 14:26 305.622 SNDUpdater544I.log
03.10.2004 14:21 6 status.txt
21.05.2005 15:41 22.835 summercamp05banner.jpg
16.10.2004 13:18 <DIR> Support
10.08.2004 13:45 194.588 symcprop.dat
08.06.1992 03:50 797 TDDEBUG.PAK
08.06.1992 03:50 9.849 TDDEMOS.PAK
08.06.1992 03:50 125.296 TDUTILS.PAK
08.06.1992 03:50 64.998 TDVIDEO.PAK
08.06.1992 03:50 332.832 TDW.PAK
08.06.1992 03:50 5.098 TDWDLL.PAK
08.06.1992 03:50 43.949 TDWDOC.PAK
28.10.2004 22:48 <DIR> TempFolder.aaa
28.10.2004 22:52 <DIR> TempFolder.aab
28.10.2004 22:52 <DIR> TempFolder.aac
03.08.2004 20:37 <DIR> tempinstall
13.02.2005 19:48 6.281 topframe_vid_pop.gif
08.06.1992 03:50 3.072 TPREM.EXE
08.06.1992 03:50 290.768 TPW.PAK
08.06.1992 03:50 1.212.928 TPWHELP.CA1
08.06.1992 03:50 1.212.928 TPWHELP.CA2
08.06.1992 03:50 228.564 TPWHELP.CA3
24.07.2005 22:02 26.275 tr1E.exe
24.07.2005 22:03 53.356 tr27.exe
19.06.2004 11:38 57.344 UninstallRC.dll
08.06.1992 03:50 26.566 UNPAK.EXE
29.10.2004 12:32 161 User.ini
08.06.1992 03:50 363.446 UTILS.PAK
08.09.2004 15:25 <DIR> VBE
02.03.2004 20:18 137.848 vorbis.dll
02.03.2004 20:18 20.600 vorbisfile.dll
18.08.2004 10:34 340 VP6.reg
18.08.2004 10:34 23.040 VP6Install.exe
18.08.2004 10:34 442.368 VP6VFW.dll
27.07.2004 21:02 66 War3Inst.log
07.06.2002 20:08 294.912 war3_Install.exe
16.02.2005 01:13 <DIR> WAS1DE9.tmp
02.07.2004 18:07 <DIR> WAS6590.tmp
13.12.2004 00:02 <DIR> WAS66EB.tmp
01.02.2005 14:59 <DIR> WAS739F.tmp
06.09.2004 13:44 <DIR> WAS85E9.tmp
29.12.2004 13:41 <DIR> WASA670.tmp
09.06.2005 16:48 <DIR> WASA9F4.tmp
04.06.2005 20:44 <DIR> WASAC24.tmp
12.05.2005 18:20 <DIR> WASB886.tmp
19.06.2004 15:34 <DIR> WASC76D.tmp
25.02.2005 16:11 <DIR> WASE118.tmp
20.05.2005 16:14 <DIR> WASE51.tmp
21.09.2004 19:17 11.255 wecerr.txt
08.06.1992 03:50 653 WELCOME.PAS
04.06.2005 18:49 <DIR> WER1.tmp.dir00
16.06.2005 22:28 <DIR> WER11.tmp.dir00
26.06.2005 17:12 <DIR> WER12.tmp.dir00
27.10.2004 10:48 <DIR> WER14.tmp.dir00
04.06.2005 19:34 <DIR> WER18.tmp.dir00
06.01.2005 17:10 <DIR> WER1A.tmp.dir00
09.02.2005 17:01 <DIR> WER1F.tmp.dir00
18.07.2005 15:17 <DIR> WER21.tmp.dir00
27.02.2005 20:03 <DIR> WER22.tmp.dir00
11.07.2005 08:51 <DIR> WER29.tmp.dir00
18.12.2004 19:31 <DIR> WER2C.tmp.dir00
25.07.2005 09:18 <DIR> WER4.tmp.dir00
04.06.2005 19:37 <DIR> WER6.tmp.dir00
25.12.2004 23:46 <DIR> WER6D.tmp.dir00
25.12.2004 23:46 <DIR> WER6E.tmp.dir00
16.06.2005 22:23 <DIR> WERA.tmp.dir00
21.03.2005 17:22 <DIR> WERB.tmp.dir00
05.06.2005 18:01 <DIR> WERC.tmp.dir00
04.07.2005 22:18 <DIR> WERF.tmp.dir00
19.10.2004 15:03 47.557 WHT2C.tmp.html
03.01.2005 23:47 52.392 WHT34.tmp.html
08.06.1992 03:50 65.180 WIN31.PAK
08.06.1992 03:50 6.888 WINDEMOS.PAK
08.06.1992 03:50 5.265 WINDLL.PAK
02.03.2004 20:18 395.896 Window.dll
02.03.2004 20:18 2.398 Window.int
08.06.1992 03:50 155.995 WINHELP.PAK
28.07.2004 13:19 <DIR> _ISTMP1.DIR
28.07.2004 14:37 <DIR> _ISTMP2.DIR
28.07.2004 14:54 <DIR> _ISTMP3.DIR
10.08.2004 13:44 <DIR> _ISTMP4.DIR
04.06.2005 20:33 <DIR> {4B119483-305E-4EF0-9893-F3F5B7B85B97}
05.06.2005 22:27 <DIR> {5809e7cf-4dcf-11d4-9875-00105ace7734}
05.06.2005 18:08 <DIR> {9413FDD4-2F4A-40D0-8F1F-757802BB27CA}
09.08.2004 11:58 <DIR> {EEFB15EB-FE8B-47DF-A496-1C4D1420294A}
03.07.2004 14:30 <DIR> ~rnsetup
349 Datei(en) 100.935.081 Bytes
66 Verzeichnis(se), 11.289.661.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\WINDOWS\Temp

09.08.2006 18:19 <DIR> .
09.08.2006 18:19 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 11.289.669.632 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\Programme

07.08.2006 19:15 <DIR> .
07.08.2006 19:15 <DIR> ..
01.03.2004 15:25 <DIR> Adobe
08.03.2004 21:01 <DIR> Ahead
08.11.2005 19:22 <DIR> AUDIOEXTRACTOR
25.07.2005 09:36 <DIR> AVPersonal
25.07.2005 11:43 <DIR> AvRack
05.06.2005 18:14 <DIR> Award
03.10.2005 14:52 <DIR> CCleaner
29.10.2004 12:30 <DIR> CD'n'Go! Suite
13.07.2005 19:09 <DIR> Cheating-Death
07.08.2006 19:15 <DIR> CleanUp!
27.02.2004 18:54 <DIR> ComPlus Applications
25.08.2005 16:02 <DIR> CyberLink
28.02.2004 13:41 <DIR> D-Tools
15.05.2006 19:24 <DIR> DivX
29.07.2006 16:10 <DIR> Doppelkopf Professionell 3.01Live
03.08.2006 17:22 <DIR> Doppelkopf Professionell 3.01LiveSV
03.08.2004 13:06 <DIR> DOSBox-0.61
02.10.2005 19:49 <DIR> ewido
07.10.2005 17:22 <DIR> Finale NotePad 2003a
30.03.2004 17:20 <DIR> GameSpy Arcade
18.05.2006 17:53 <DIR> Gemeinsame Dateien
29.07.2005 14:53 <DIR> Google
29.05.2006 10:56 <DIR> Guitar Pro 5
25.07.2005 12:06 <DIR> Internet Explorer
20.03.2006 20:44 <DIR> IrfanView
27.07.2005 12:22 <DIR> Java
05.03.2004 18:21 <DIR> Kazaa Lite K++
14.05.2006 12:52 <DIR> Latein-W”rterbuch
01.04.2004 11:52 <DIR> Lavasoft
03.03.2004 14:03 <DIR> Logitech
25.02.2005 16:13 <DIR> Macromedia
26.02.2006 15:06 <DIR> Maple 9
25.07.2005 12:06 <DIR> Messenger
04.01.2006 13:01 <DIR> Microangelo
21.04.2004 22:09 <DIR> microsoft frontpage
26.09.2005 12:42 <DIR> Microsoft Office
21.04.2004 22:11 <DIR> Microsoft Visual Studio
26.09.2005 12:44 <DIR> Microsoft Works
26.09.2005 12:37 <DIR> Microsoft Works Suite 2004
13.06.2006 13:37 <DIR> Miranda IM
25.07.2005 12:06 <DIR> Movie Maker
28.10.2004 19:37 <DIR> mozilla.org
27.02.2004 18:54 <DIR> MSN
27.02.2004 18:54 <DIR> MSN Gaming Zone
26.07.2006 17:54 <DIR> MSN Messenger
30.03.2006 17:08 <DIR> MSXML 4.0
25.07.2005 12:08 <DIR> NetMeeting
07.10.2005 17:22 <DIR> Norton AntiVirus
30.03.2004 17:27 <DIR> NVIDIA
04.06.2005 20:33 <DIR> NVIDIA Corporation
17.06.2004 22:55 <DIR> Oasis
27.02.2004 18:54 <DIR> Online Services
27.02.2004 18:56 <DIR> Online-Dienste
26.07.2005 21:44 <DIR> Opera
25.07.2005 12:06 <DIR> Outlook Express
18.05.2006 17:55 <DIR> PartyGaming
18.05.2006 17:54 <DIR> PokerStars
23.02.2006 19:06 <DIR> QuickTime
03.03.2005 19:07 <DIR> RAM Idle
13.03.2006 11:43 <DIR> Real
04.06.2005 20:33 <DIR> Realtek Sound Manager
30.03.2004 17:16 <DIR> RegClean
02.07.2006 13:43 <DIR> Simple Sudoku
29.07.2006 10:30 <DIR> Spybot - Search & Destroy
04.01.2006 12:50 <DIR> Stardock
14.07.2006 19:05 <DIR> Steam
26.12.2004 22:14 <DIR> Steam2
03.04.2005 14:26 <DIR> Symantec
03.04.2005 14:26 <DIR> SymNetDrv
08.07.2006 18:59 <DIR> Teamspeak2_RC2
08.02.2005 20:17 <DIR> TeXnicCenter
08.08.2006 21:10 <DIR> Trillian
07.10.2005 17:16 <DIR> TuneUp Utilities 2006
02.08.2004 20:15 <DIR> Tweak-XP Pro 3
14.11.2004 20:38 <DIR> Ventrilo
25.07.2005 17:24 <DIR> Winamp
09.06.2006 11:17 <DIR> Winamp5.3
26.07.2005 21:56 <DIR> Windows Media Player
27.02.2004 18:54 <DIR> Windows NT
15.04.2006 17:30 <DIR> WinRAR
27.02.2004 18:57 <DIR> xerox
0 Datei(en) 0 Bytes
83 Verzeichnis(se), 11.289.665.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Anwendungsdaten

01.03.2004 15:26 <DIR> Adobe
02.05.2005 15:13 64.000 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
12.03.2004 14:53 <DIR> Help
01.10.2004 14:15 <DIR> Identities
04.06.2005 21:17 <DIR> Microsoft
11.11.2004 20:46 <DIR> {7148F0A6-6813-11D6-A77B-00B0D0142050}
1 Datei(en) 64.000 Bytes
5 Verzeichnis(se), 11.289.665.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\Dokumente und Einstellungen\Steffen\Anwendungsdaten

25.07.2005 09:38 <DIR> .
25.07.2005 09:38 <DIR> ..
01.03.2004 15:26 <DIR> Adobe
23.02.2005 16:50 <DIR> AdobeUM
12.03.2004 14:53 <DIR> Help
01.02.2005 14:34 <DIR> Identities
05.03.2004 18:21 <DIR> Kazaa Lite
25.02.2005 16:16 <DIR> Macromedia
21.04.2004 22:10 <DIR> Microsoft Web Folders
28.10.2004 19:38 <DIR> Mozilla
13.01.2005 20:28 <DIR> onba
03.07.2004 14:31 <DIR> Real
11.11.2004 20:52 <DIR> Sun
28.07.2004 13:18 <DIR> Symantec
28.10.2004 19:38 <DIR> Talkback
12.10.2004 21:05 <DIR> teamspeak2
14.11.2004 20:39 <DIR> Ventrilo
01.02.2005 14:34 <DIR> Zylom
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 11.289.665.536 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7C3F-3319

Verzeichnis von C:\Programme\Gemeinsame Dateien

18.05.2006 17:53 <DIR> .
18.05.2006 17:53 <DIR> ..
01.03.2004 15:26 <DIR> Adobe
20.07.2005 12:09 <DIR> Blizzard Entertainment
21.04.2004 22:11 <DIR> Designer
27.02.2004 18:55 <DIR> Dienste
28.02.2004 13:48 <DIR> DirectX
04.06.2005 20:30 <DIR> InstallShield
11.11.2004 20:50 <DIR> Java
03.03.2004 14:03 <DIR> Logitech
26.09.2005 12:43 <DIR> Microsoft Shared
30.03.2006 17:08 <DIR> MimarSinan
28.10.2004 19:38 <DIR> mozilla.org
27.02.2004 18:55 <DIR> MSSoap
04.06.2005 20:33 <DIR> NVIDIA Shared
27.02.2004 18:47 <DIR> ODBC
13.03.2006 11:43 <DIR> Real
27.02.2004 18:47 <DIR> SpeechEngines
03.04.2005 14:28 <DIR> Symantec Shared
25.07.2005 12:06 <DIR> System
25.02.2005 16:14 <DIR> Vbox
07.10.2005 17:15 <DIR> Wise Installation Wizard
03.07.2004 14:30 <DIR> xing shared
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 11.289.661.440 Bytes frei

#6 SteffenK

http://virus-protect.org/artikel/tools/agentransack.html
gib ein in Suche:

PSGuard

poste das log, was erscheint

---------------

Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip

- ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles hier)
- psguardrem.reg (klicken) und der Registry beifuegen

---------------

1.
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
scan --> next none auf rename ändern
Dann lass Blacklight den Rechner neu starten.


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar

Files to delete:

C:\z.t
C:\WINDOWS\rdt.ini
C:\WINDOWS\balloon.wav
C:\WINDOWS\SYSTEM32\csktx.exe
C:\WINDOWS\SYSTEM32\dmvac.exe
C:\WINDOWS\SYSTEM32\dmmeb.exe
C:\WINDOWS\SYSTEM32\{7E975EF3-5296-4A10-B945-B1E45E1142C1}.exe
C:\WINDOWS\SYSTEM32\{8532CBB4-C8D2-4C92-91B0-C93993B457E0}.exe
C:\WINDOWS\SYSTEM32\{86EA285C-A957-4E61-B1D5-D329A9EEAF73}.exe
C:\WINDOWS\SYSTEM32\{9E430FFC-B822-4C80-BF3E-BACCA5603962}.exe
C:\WINDOWS\SYSTEM32\{C8777893-D355-4EB7-98E4-581F6A7BF367}.exe
C:\WINDOWS\SYSTEM32\CSTZM.EXE
C:\WINDOWS\SYSTEM32\DMVAC.EXE
C:\WINDOWS\SYSTEM32\{5B18469E-450C-4949-888F-53156F293BBE}.dll
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\PSGuardInstall.exe
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\pi.sys
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\ndif.exe
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\tr1E.exe
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\tr27.exe
C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\oocf.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5B18469E-450C-4949-888F-53156F293BBE}.dll

O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{5B18469E-450C-4949-888F-53156F293BBE}.dll

O4 - HKCU\..\Run: [KillAndClean] "C:\Programme\KillAndClean\KillAndClean.exe"

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{58D5B4AB-AD05-4CBC-A149-48AA19E9AC4B}: NameServer = 85.255.115.29,85.255.112.211
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B71ED88-15CD-4A35-AE7B-EE564CC2ACA2}: NameServer = 85.255.115.29,85.255.112.211
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.211
O17 - HKLM\System\CS1\Services\Tcpip\..\{58D5B4AB-AD05-4CBC-A149-48AA19E9AC4B}: NameServer = 85.255.115.29,85.255.112.211
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.29 85.255.112.211

PC neustarten

4.
manuell mit den Zugangsdaten des Providers hergestellen. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn IP und DNS automatisch beziehen.
85.255.115.29 85.255.112.211 - > muss raus !!!!!!!!!!!!!!

5.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

6.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

7.
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html

8.
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Puuuh, das ist alles so kompliziert, kann ich nicht auch einfach mein XP neu installieren?!

#8 Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\ShudderLTD ...........
Testing presence of HKEY_LOCAL_MACHINE\SOFTWARE\PSGuard.com ...........


Creating dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Hiving Dummy / Saving Dummyhive ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Deleting Dummy ..........

Der Vorgang wurde erfolgreich ausgeführt.

Der Vorgang wurde erfolgreich ausgeführt.

Adding Dummyhive ...........

Deleting ShudderLTD/PSGuard.com ...........

Checking if ShudderLTD/PSGuard.com is still present ..........


Deleting leftovers in registry ..........

Leftovers deleted!

#9 klar, formatieren waere allemal das beste, aber wenn du reinigen willst, musst du alles ausfuehren, was ich schreibe, denn deine Internetverbindung wird in die Ukraine umgeleitet, da du so naiv warst, auf Kill&Clean reinzufallen............
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\pqcxfljf

*******************

Script file located at: \??\C:\WINDOWS\System32\xufdvakn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\z.t deleted successfully.


File C:\WINDOWS\rdt.ini not found!
Deletion of file C:\WINDOWS\rdt.ini failed!

Could not process line:
C:\WINDOWS\rdt.ini
Status: 0xc0000034



File C:\WINDOWS\balloon.wav not found!
Deletion of file C:\WINDOWS\balloon.wav failed!

Could not process line:
C:\WINDOWS\balloon.wav
Status: 0xc0000034



File C:\WINDOWS\SYSTEM32\csktx.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\csktx.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\csktx.exe
Status: 0xc0000034

File C:\WINDOWS\SYSTEM32\dmvac.exe deleted successfully.


File C:\WINDOWS\SYSTEM32\dmmeb.exe not found!
Deletion of file C:\WINDOWS\SYSTEM32\dmmeb.exe failed!

Could not process line:
C:\WINDOWS\SYSTEM32\dmmeb.exe
Status: 0xc0000034

File C:\WINDOWS\SYSTEM32\{7E975EF3-5296-4A10-B945-B1E45E1142C1}.exe deleted successfully.
File C:\WINDOWS\SYSTEM32\{8532CBB4-C8D2-4C92-91B0-C93993B457E0}.exe deleted successfully.
File C:\WINDOWS\SYSTEM32\{86EA285C-A957-4E61-B1D5-D329A9EEAF73}.exe deleted successfully.
File C:\WINDOWS\SYSTEM32\{9E430FFC-B822-4C80-BF3E-BACCA5603962}.exe deleted successfully.
File C:\WINDOWS\SYSTEM32\{C8777893-D355-4EB7-98E4-581F6A7BF367}.exe deleted successfully.
File C:\WINDOWS\SYSTEM32\CSTZM.EXE deleted successfully.


File C:\WINDOWS\SYSTEM32\DMVAC.EXE not found!
Deletion of file C:\WINDOWS\SYSTEM32\DMVAC.EXE failed!

Could not process line:
C:\WINDOWS\SYSTEM32\DMVAC.EXE
Status: 0xc0000034

File C:\WINDOWS\SYSTEM32\{5B18469E-450C-4949-888F-53156F293BBE}.dll deleted successfully.
File C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\PSGuardInstall.exe deleted successfully.
File C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\pi.sys deleted successfully.
File C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\ndif.exe deleted successfully.
File C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\tr1E.exe deleted successfully.
File C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\tr27.exe deleted successfully.
File C:\Dokumente und Einstellungen\Steffen\Lokale Einstellungen\Temp\oocf.exe deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\SearchToolbar failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#11 Oo.k. nun arbeite alles weitere ab, zum Schluss ist dann wichtig , dass der 017-Eintrag im HijackThis wieder deinem Provider entspricht.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Wäre ich denn alle Probleme los wenn ich nur das Windows neu installiere?
Oder sollte ich wirklich mal meine Festplatte formatieren, ich meine ich hab ne Menger persönliches Zeug drauf, davon müsste ich dann ein "ziemlich großes" backup machen....

#13 Scanning Report
Wednesday, August 09, 2006 22:07:27 - 22:45:01

Computer name: PROPHECY
Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
Result: 29 malware found
Backdoor.Win32.Agent.ac (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\405A5162.DLL (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\49D15225.DLL (Renamed)

Exploit.HTML.IframeBof (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\22FC5369.HTML (Renamed)

Exploit.HTML.Mht (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\4A3158FC.HTM (Renamed)

Exploit.VBS.Phel.a (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\2D031B68.HTM (Renamed)

Trojan-Clicker.Win32.Agent.v (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\230A5A5C.EXE (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\230E0458.EXE (Renamed)

Trojan-Downloader.Win32.Agent.au (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\7F9A1902.DLL (Renamed)

Trojan-Downloader.Win32.Agent.bd (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\3E3C3AAC.DLL (Renamed)

Trojan-Downloader.Win32.Agent.ga (virus)

* C:\RECYCLER\NPROTECT\00105645.DLL (Renamed)

Trojan-Downloader.Win32.Briss.a (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\1B88072E (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\34370DEA (Renamed)

Trojan-Downloader.Win32.Small.asy (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\334E1A1B (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\61854614 (Renamed)

Trojan-Downloader.Win32.Small.bdw (virus)

* C:\RECYCLER\NPROTECT\00122505.EXE (Renamed)

Trojan-Downloader.Win32.Small.vq (virus)

* C:\RECYCLER\NPROTECT\00105643.EXE (Renamed)

Trojan-Downloader.Win32.VB.fi (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\5BAB6F94.EXE (Renamed)

Trojan-Downloader.Win32.Zdesnado.o (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\36744E7D.EXE (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\42E619AA.EXE (Renamed)

Trojan-Dropper.VBS.Small.d (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\6320704F (Renamed)

Trojan-Dropper.Win32.Agent.fg (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\77AB15BD.EXE (Renamed)

Trojan-Dropper.Win32.Small.ou (virus)

* C:\RECYCLER\NPROTECT\00105654.EXE (Renamed)

Trojan.Java.Femad (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\14894B7A (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\346303BE (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\449C5C84 (Renamed)
* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\70130A13 (Renamed)

Trojan.Win32.Small.ev (virus)

* C:\PROGRAMME\NORTON ANTIVIRUS\QUARANTINE\617B481F (Renamed)

W32/DLoader.ODK.dropper (virus)

* C:\DOKUMENTE UND EINSTELLUNGEN\STEFFEN\LOKALE EINSTELLUNGEN\TEMP\20004.EXE

W32/Zapchast.PL (virus)

* C:\DOKUMENTE UND EINSTELLUNGEN\STEFFEN\LOKALE EINSTELLUNGEN\TEMP\MIUNST_.EXE

Statistics
Scanned:

* Files: 28558
* System: 4436
* Not scanned: 5

Actions:

* Disinfected: 0
* Renamed: 27
* Deleted: 0
* None: 2
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\TP7\KAP-9\LISTE2.DOK
* C:\MP3FILES\NEUE\ADELE_SILVER_5.ZIP
* C:\MP3FILES\NEUE\JESSICA_ALBA_3.ZIP

Options
Scanning engines:

* F-Secure AVP: 6.0.171, 2006-08-09
* F-Secure Libra: 2.4.1, 2006-08-09
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Orion: 1.2.37, 2006-08-09
* F-Secure Draco: 1.0.35, 0259-24-212
* F-Secure Pegasus: 1.19.0, 2006-06-05

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics

#14 nun, wir sind gerade so schoen beim Reinigen
arbeite noch alles weitere ab.. und poste die logs
__________
MfG Sabina

rund um die PC-Sicherheit

#15 SUPERAntiSpyware Scan Log
Generated 08/10/2006 at 06:17 PM

Core Rules Database Version : 3047
Trace Rules Database Version: 1097

Memory Thread detected : 0
Registry Thread detected : 4
File Thread detected : 31

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Steffen.PROPHECY\Cookies\steffen@msnportal.112.2o7[1].txt

Browser Hijacker.Favorites
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Download Free Spyware Remover.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\NEW VIAGRA at Half Price!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Chat With Nude Girls.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Order CIALIS online without leaving home..url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\PC protection in under 2 minutes!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\SEX Dating - Real Girls For Real SEX.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Stop PopUps On Your Computer.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\View ADULT photos of REAL GIRLS!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy\CHEAPEST VIAGRA ONLINE.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy\Cialis at HALF PRICE!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy\Fast Way To Loose Your Weight!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy\Guaranteed low price at Pills..url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy\SOMA at Special LOW PRICE.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy\Tramadol Special Offer!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy\Try New VIAGRA! Works Faster and Longer!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Online Pharmacy
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Sex and Dating\Meet Girls Who Want To Get Laid!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Sex and Dating\Meet Horny Girls In Your Area!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Sex and Dating\Read profiles and Chat With Nude Girls!.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Sex and Dating\SEX Dating - people looking for SEX.url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Sex and Dating\View XXX photos of Real Sexy Girls..url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Sex and Dating
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Spyware Uninstall\Easy Detect and Uninstall Spyware..url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Spyware Uninstall\Free Spyware Scanner..url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Spyware Uninstall\Search & Destroy Annoying Adware..url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Spyware Uninstall\Stop PopUps on your PC..url
C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten\Spyware Uninstall

Trojan.Media-Codec
HKCR\Media-Codec.Chl
HKCR\Media-Codec.Chl\CLSID
HKCR\VSEnchancer.Chl
HKCR\VSEnchancer.Chl\CLSID

Trojan.SmitFraud Variant
C:\RECYCLER\NPROTECT\00122661.exe

Adware.Casino Games (Golden Palace Casino)
C:\TP7\CASINO.EXE

--------------------------------------------------------------------------
Logfile of HijackThis v1.99.0
Scan saved at 18:56:58, on 10.08.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp5.3\winampa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Winamp5.3\winamp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\WINDOWS\notepad.exe
C:\Dokumente und Einstellungen\Steffen.PROPHECY\Eigene Dateien\Hijackthis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp5.3\winampa.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe