Diverse Trojaner/zlob + Virus VerdachtThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
18.08.2006, 03:50
...neu hier
Beiträge: 3 |
||
|
||
18.08.2006, 14:56
Ehrenmitglied
Beiträge: 29434 |
#2
Morsy
das kann man reinigen, kein PROBLEM 1. entpacke datfindbat auf C:\ und poste die 4 logs. http://virus-protect.org/datfindbat.html 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2006, 21:10
Member
Beiträge: 156 |
#3
Hi,
auch mein PC spinnt mal wieder und ich habe keine ahnung woran es liegen könnt. Hier mal den Hijackthis log Logfile of HijackThis v1.99.1 Scan saved at 21:03:24, on 18.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ConquerCam\ConquerCam.exe C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\WINDOWS\system32\sistray.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\T-DSL SpeedManager\TSMSvc.exe C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stefan.USER\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe" O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {7FF742B4-8547-45B8-88B5-D66A681FCFD6} - C:\WINDOWS\system32\msvfw32d.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ConquerCam] C:\Programme\ConquerCam\ConquerCam.exe /tray O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (file missing) (HKCU) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4820/mcfscan.cab O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe Dat find. Datentr„ger in Laufwerk C: ist Festplatte C Voumeseriennummer: 28CB-CBF6 Verzeichnis von C:\WINDOWS\system32 18.08.2006 12:01 0 asfiles.txt 18.08.2006 11:57 2.550 Uninstall.ico 18.08.2006 11:57 1.406 Help.ico 18.08.2006 11:57 30.590 pavas.ico 17.08.2006 19:49 114.004 VGAunistlog.ini 17.08.2006 19:44 477 schecklog.txt 17.08.2006 19:44 0 sunistlog.ini 17.08.2006 19:44 117.915 1_ssetup.ini 17.08.2006 19:44 0 2_ssetup.ini 17.08.2006 19:40 2.228 wpa.dbl 05.08.2006 10:51 664 d3d9caps.dat 27.06.2006 18:17 98.304 CmdLineExt.dll 25.05.2006 10:18 313.968 FNTCACHE.DAT 24.05.2006 21:51 440 ROXECDC6Inst.log 24.05.2006 20:50 53.608 perfc009.dat 24.05.2006 20:50 383.254 perfh009.dat 24.05.2006 20:50 394.500 perfh007.dat 24.05.2006 20:50 64.598 perfc007.dat 24.05.2006 20:50 906.552 PerfStringBackup.INI 24.05.2006 20:41 28.373 $winnt$.inf 24.05.2006 20:34 16.832 amcompat.tlb 24.05.2006 20:34 23.392 nscompat.tlb 24.05.2006 20:33 488 logonui.exe.manifest 24.05.2006 20:33 488 WindowsLogon.manifest 24.05.2006 20:33 749 cdplayer.exe.manifest 24.05.2006 20:33 749 sapi.cpl.manifest 24.05.2006 20:33 749 wuaucpl.cpl.manifest Verzeichnis von C:\DOKUME~1\STEFAN~1.USE\LOKALE~1\Temp 26.08.2006 01:31 793.172 tmp-1.xpi 18.08.2006 20:47 0 TMP3C.tmp 18.08.2006 20:40 0 TMP3A.tmp 18.08.2006 19:34 16.384 ~DFACB2.tmp 18.08.2006 19:34 16.384 Perflib_Perfdata_710.dat 18.08.2006 17:06 27.513 jusched.log 18.08.2006 16:56 0 vga1.tmp 18.08.2006 16:32 37.440 java_install_reg.log 18.08.2006 13:58 16.384 ~DFA16A.tmp 18.08.2006 13:56 0 vga4.tmp 18.08.2006 09:08 0 vga3.tmp 17.08.2006 20:59 16.384 cpi2A.tmp 17.08.2006 20:59 16.384 cpi29.tmp 17.08.2006 20:58 376 MSIc7ad9.LOG 17.08.2006 19:57 16.384 ~DF1F56.tmp 17.08.2006 19:53 0 vga2.tmp 17.08.2006 19:48 0 vga28.tmp 17.08.2006 19:48 0 vga14.tmp 17.08.2006 19:48 0 vga13.tmp 17.08.2006 19:43 0 vga12.tmp 17.08.2006 19:43 16.384 ~DFE82B.tmp 17.08.2006 14:35 16.384 ~DF163E.tmp 16.08.2006 09:05 16.384 ~DF5EEC.tmp 15.08.2006 19:59 16.384 ~DFE1B5.tmp 15.08.2006 08:21 16.384 ~DF2098.tmp 14.08.2006 00:53 717 control.xml 13.08.2006 20:07 0 fp9B4.tmp 13.08.2006 18:30 16.384 ~DFD753.tmp 12.08.2006 18:26 0 7mm38.tmp 12.08.2006 16:39 16.384 ~DF9DB4.tmp 11.08.2006 08:15 939 jupdate1.5.0.xml 10.08.2006 09:52 16.384 ~DF245F.tmp 09.08.2006 21:10 0 fla170.tmp 09.08.2006 17:45 0 j8pBE.tmp 09.08.2006 17:43 0 6q0BA.tmp 09.08.2006 17:25 1.884.164 movie03.mpg 09.08.2006 17:20 2.525.188 2.mpeg 09.08.2006 17:19 1.589.252 brandi_girls_2.mpg 09.08.2006 17:17 1.613.828 brandi_girls_3.mpg 09.08.2006 17:15 659.660 3-1.mpg 09.08.2006 17:14 56.070 02-1.mpg 09.08.2006 17:13 2.551.756 03.mpg 09.08.2006 17:02 1.089.238 01-1.mpg 09.08.2006 17:00 2.086.912 3.mpg 09.08.2006 17:00 2.097.152 2.mpg 09.08.2006 16:59 436.560 02.mpg 09.08.2006 16:59 563.140 01.mpg 09.08.2006 16:55 738.782 00.mpg 09.08.2006 16:53 1.269.764 realtits_0126_5.mpg 09.08.2006 09:54 16.384 ~DFF602.tmp 08.08.2006 16:57 0 vkh108.tmp 08.08.2006 16:56 0 tz7107.tmp 08.08.2006 16:55 0 75a106.tmp 08.08.2006 16:54 0 8h3105.tmp 08.08.2006 08:55 16.384 ~DF1682.tmp 07.08.2006 17:25 0 ypt10A.tmp 07.08.2006 11:58 376 MSIa5362.LOG 07.08.2006 09:13 16.384 ~DFF169.tmp 06.08.2006 19:45 16.384 ~DF8EAD.tmp 06.08.2006 17:20 305 GLFBD.VBS 05.08.2006 14:57 16.384 ~DF5EA7.tmp 04.08.2006 18:20 376 MSId5c9.LOG 04.08.2006 16:54 14.136 deswatch.bmp 04.08.2006 16:54 8.118 doodle.bmp 04.08.2006 16:54 8.118 peanuts.bmp 04.08.2006 07:03 16.384 ~DFBA09.tmp 03.08.2006 19:53 16.384 ~DF6800.tmp 03.08.2006 12:45 0 flaC7.tmp 02.08.2006 09:22 16.384 ~DF9F47.tmp 02.08.2006 02:01 16.384 ~Qil3027.tmp 02.08.2006 02:01 16.384 ~DF368.tmp 01.08.2006 09:22 16.384 ~DFB133.tmp 31.07.2006 17:50 8.126 CG8LC2RL.htm 31.07.2006 17:25 16.384 ~DF9722.tmp 31.07.2006 12:43 16.384 ~DFDE29.tmp 30.07.2006 18:57 16.384 ~DFC989.tmp 29.07.2006 18:52 16.384 ~DF96E2.tmp 29.07.2006 12:13 16.384 ~DFAA98.tmp 29.07.2006 10:37 792.184 tmp.xpi 16.06.2006 19:22 0 $b17a2e8.tmp 80 Datei(en) 21.344.882 Bytes 0 Verzeichnis(se), 10.568.871.936 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte C Volumeseriennummer: 28CB-CBF6 Verzeichnis von C:\WINDOWS 18.08.2006 20:50 1.311 IE4 Error Log.txt 18.08.2006 19:02 453.689 WindowsUpdate.log 18.08.2006 17:03 495 wiadebug.log 18.08.2006 16:56 0 0.log 18.08.2006 16:55 50 wiaservc.log 18.08.2006 16:55 2.048 bootstat.dat 18.08.2006 16:34 32.548 SchedLgU.Txt 18.08.2006 11:58 454.565 setupapi.log 14.08.2006 00:53 147.190 wmsetup.log 04.08.2006 13:29 90.958 setupact.log 29.06.2006 19:22 0 WATCH.INI 26.06.2006 19:32 1.167 cdplayer.ini 05.06.2006 19:09 1.055 win.ini 30.05.2006 14:53 4.249 mozver.dat 24.05.2006 21:27 103.919 Directx.log 24.05.2006 20:52 1.454 COM+.log 24.05.2006 20:46 50.804 comsetup.log 24.05.2006 20:45 756.435 setuplog.txt 24.05.2006 20:41 153.211 iis6.log 24.05.2006 20:41 29.453 ntdtcsetup.log 24.05.2006 20:41 52.291 tsoc.log 24.05.2006 20:41 5.606 tabletoc.log 24.05.2006 20:41 5.800 ocmsn.log 24.05.2006 20:41 4.512 imsins.log 24.05.2006 20:35 316.640 WMSysPr9.prx 24.05.2006 20:34 406 OEWABLog.txt 24.05.2006 20:34 4.161 ODBCINST.INI 24.05.2006 20:33 206 setuperr.log 24.05.2006 20:33 749 WindowsShell.Manifest 24.05.2006 20:32 7.879 MedCtrOC.log 24.05.2006 20:32 5.423 msgsocm.log 24.05.2006 20:32 58.416 ocgen.log 24.05.2006 20:32 98.735 FaxSetup.log 24.05.2006 20:32 1.042 sessmgr.setup.log 24.05.2006 20:32 18.461 netfxocm.log 24.05.2006 20:31 120 DtcInstall.log 24.05.2006 20:30 36.978 msmqinst.log 24.05.2006 20:30 200 cmsetacl.log 150 Datei(en) 9.958.055 Bytes 0 Verzeichnis(se), 10.568.859.648 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte C olumeseriennummer: 28CB-CBF6 Verzeichnis von C:\ 18.08.2006 21:09 0 sys.txt 18.08.2006 21:07 7.744 system.txt 18.08.2006 21:07 4.123 systemtemp.txt 18.08.2006 21:05 105.023 system32.txt 18.08.2006 16:55 1.207.959.552 pagefile.sys 09.08.2006 21:53 170.008 hpfr3740.log 20.07.2006 22:59 146 YServer.txt 19.07.2006 21:01 2.764 TDSLCheck.txt 15.07.2006 13:32 960 TOnlProt.log 24.05.2006 20:29 211 boot.ini 14.04.2006 15:57 0 aperf.txt 14.04.2006 15:57 0 asize.txt 14.04.2006 15:57 0 afile.txt 26.03.2006 14:09 17 gputest.txt 17.01.2006 11:04 3.584 Thumbs.db 29.12.2005 17:29 26 ioSpecial.ini 12.12.2005 10:44 162 TO_InstallLog.txt 28.11.2005 18:00 998 smitfiles.txt 05.11.2005 15:25 591 eMule.de.lnk 04.11.2005 20:54 0 CONFIG.SYS 03.11.2005 19:10 30 Schedule.Dat 06.05.2005 20:20 35 autoexec.bat 24.08.2004 21:07 0 MSDOS.SYS 24.08.2004 21:07 0 IO.SYS 31.12.2002 14:00 4.952 bootfont.bin 31.12.2002 14:00 47.564 NTDETECT.COM 31.12.2002 14:00 251.184 ntldr 07.11.2002 01:28 108.020 setup.ini 28 Datei(en) 1.208.667.694 Bytes 0 Verzeichnis(se), 10.568.867.840 Bytes frei __________ Danke für Eure super Unterstützung! Lg Stefan Dieser Beitrag wurde am 18.08.2006 um 21:15 Uhr von Okto1967 editiert.
|
|
|
||
18.08.2006, 22:30
Ehrenmitglied
Beiträge: 29434 |
#4
Okto1967
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.08.2006, 22:42
Member
Beiträge: 156 |
#5
Meinst du dieses?
Datentr„ger in Laufwerk C: ist Festplatte C Volumeseriennummer: 28CB-CBF6 Verzeichnis von C:\Programme Datentr„ger in Laufwerk C: ist Festplatte C Volumeseriennummer: 28CB-CBF6 Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders 13.06.2006 14:22 <DIR> . 13.06.2006 14:22 <DIR> .. 04.11.2005 21:12 <DIR> 1031 25.08.2004 01:33 <DIR> 1033 11.07.2003 02:15 1.292.872 MSONSEXT.DLL 14.07.2003 22:52 35.896 MSOSV.DLL 19.03.1999 22:46 127.032 MSOWS407.DLL 04.06.1999 15:09 122.937 MSOWS409.DLL 11.07.2003 02:25 80.448 PKMWS.DLL 5 Datei(en) 1.659.185 Bytes 4 Verzeichnis(se), 10.554.220.544 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte C Volumeseriennummer: 28CB-CBF6 Verzeichnis von C:\WINDOWS\Downloaded Program Files 11.04.2006 17:10 135.168 asinst.dll 03.04.2006 11:00 537 asinst.inf 17.11.2005 15:03 198.304 avsniffdlgs.dll 17.11.2005 02:00 2.390 catalog.dat 14.10.1997 19:52 697 DirectAnimation Java Classes.osd 17.11.2005 02:00 6.899 ecbootil.vxd 17.11.2005 14:56 42.112 ecmldr32.dll 17.11.2005 02:00 288.376 ecmsvr32.dll 07.06.2006 11:09 1.249 erma.inf 10.11.2005 15:05 876 jinstall-1_5_0_06.inf 08.08.2006 11:45 576 kavwebscan.inf 15.03.2002 16:18 348.160 kdu_v32r.dll 03.11.2005 21:24 495 LegitCheckControl.inf 24.02.2006 12:49 882 mcfscan.inf 20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd 26.05.2005 05:19 293 muweb.inf 17.11.2005 14:57 6.850 navapi.vxd 17.11.2005 02:00 124.536 naveng32.dll 17.11.2005 02:00 788.088 navex32a.dll 17.11.2005 15:03 161.480 rufsi.dll 17.11.2005 02:00 96.992 scrauth.dat 27.03.2006 13:00 5.019 swflash.inf 17.11.2005 02:00 14 symaveng.cat 17.11.2005 02:00 901 symaveng.inf 17.11.2005 02:00 39.566 tcdefs.dat 17.11.2005 02:00 802.775 tcscan7.dat 17.11.2005 02:00 220.151 tcscan8.dat 17.11.2005 02:00 446.706 tcscan9.dat 17.11.2005 02:00 453 tinf.dat 17.11.2005 02:00 148 tinfidx.dat 17.11.2005 02:00 1.957 tinfl.dat 17.11.2005 02:00 44.587 tscan1.dat 17.11.2005 02:00 1.237 tscan1hd.dat 19.02.2006 09:48 227 UERSU_0001_N68M1402NetInstaller.inf 17.11.2005 02:00 5.516 v.grd 17.11.2005 02:00 2.242 v.sig 17.11.2005 02:00 106.244 virscan.inf 17.11.2005 02:00 937.052 virscan1.dat 17.11.2005 02:00 559.726 virscan2.dat 17.11.2005 02:00 145.280 virscan3.dat 17.11.2005 02:00 320.086 virscan4.dat 17.11.2005 02:00 1.665.448 virscan5.dat 17.11.2005 02:00 386.398 virscan6.dat 17.11.2005 02:00 2.743.538 virscan7.dat 17.11.2005 02:00 1.437.512 virscan8.dat 17.11.2005 02:00 2.860.141 virscan9.dat 17.11.2005 02:00 32 virscant.dat 25.11.2005 14:47 2.072 vscanmsx.dat 08.10.2002 14:37 204.800 yuplapp.dll 17.11.2005 02:00 224 zdone.dat 50 Datei(en) 15.146.174 Bytes 0 Verzeichnis(se), 10.554.216.448 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte C Volumeseriennummer: 28CB-CBF6 Verzeichnis von C:\Programme\Common Files 06.10.2004 21:34 <DIR> . 06.10.2004 21:34 <DIR> .. 06.10.2004 21:34 <DIR> Microsoft Shared 24.08.2004 21:36 <DIR> System 0 Datei(en) 0 Bytes 4 Verzeichnis(se), 10.554.216.448 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte C Volumeseriennummer: 28CB-CBF6 Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp 04.12.2005 18:18 <DIR> . 04.12.2005 18:18 <DIR> .. 21.08.2005 22:44 <DIR> .cleanup.tmp 21.08.2005 22:22 <DIR> .zylominstallertemp1124655736 21.08.2005 23:27 <DIR> .zylominstallertemp1124659653 21.08.2005 23:27 <DIR> .zylominstallertemp1124659671 17.04.2004 21:19 3.384.464 10902d5.msi 17.04.2004 21:17 74.752 10902d6.mst 27.10.2004 20:02 176.128 164d0c.mst 17.01.2005 19:10 143.872 19329f.mst 02.09.2004 14:06 212.992 24b3.rra 21.08.2005 23:19 11.538.432 8afff.msi 21.08.2005 23:19 1.470.464 8b000.mst 03.11.2000 06:08 2.656.256 9d4f7.msi 03.11.2000 06:08 934.912 9d4f8.mst 16.10.2004 20:18 40 ActMachine.log 14.01.2005 21:26 <DIR> ADMCache 15.09.2004 13:03 <DIR> Adobe 26.08.2004 17:33 1.081 ALBUM.GIF edit Verzeichnis von C:\WINDOWS\Temp 18.08.2006 16:56 <DIR> . 18.08.2006 16:56 <DIR> .. 10.07.2006 12:01 596 hpzcoi00.log 10.07.2006 12:01 596 hpzcoi01.log 10.07.2006 12:01 791 hpzcoi02.log 10.07.2006 12:01 732 hpzcoi03.log 16.07.2006 17:06 97 ~LHSAPI.DCT 5 Datei(en) 2.812 Bytes 2 Verzeichnis(se), 10.554.138.624 Bytes frei Datentr„ger in Laufwerk C: ist Festplatte C Volumeseriennummer: 28CB-CBF6 edit (Sabina) __________ Danke für Eure super Unterstützung! Lg Stefan |
|
|
||
18.08.2006, 23:00
Ehrenmitglied
Beiträge: 29434 |
#6
Okto1967
1. Pocket KillBox http://virus-protect.org/killbox.html Options: "Delete on Reboot" und "Single File"--> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes" reinkopieren: ....... C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.inf 2. PC neustarten 3. öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe"PC neustarten 4. Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k 5. scanne mit panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2006, 13:19
Member
Beiträge: 156 |
#7
Hier der Pandascann:
Incident Status Location Adware:adware/emediacodec Not disinfected c:\windows\system32\ncompat.tlb Adware:adware/securityerror Not disinfected c:\windows\system32\ot.ico Potentially unwanted tool:application/myway Not disinfected hkey_local_machine\software\MySearch Potentially unwanted tool:application/spyaxe Not disinfected hkey_classes_root\clsid\{957BAB51-81FF-8195-F273-D7E286EA702F} Adware:adware/exact.bargainbuddy Not disinfected Windows Registry __________ Danke für Eure super Unterstützung! Lg Stefan |
|
|
||
19.08.2006, 13:28
Ehrenmitglied
Beiträge: 29434 |
#8
Okto1967
1. loesche manuell oder mit der Killbox: c:\windows\system32\ncompat.tlb c:\windows\system32\amcompat.tlb c:\windows\system32\ot.ico 2. Gehe in die registry Start - Ausfuehren - regedit bearbeiten - suchen - (in das Suchfenster kopieren) : MySearch {957BAB51-81FF-8195-F273-D7E286EA702F} hkey_local_machine\software\MySearch -> loeschen hkey_classes_root\clsid\{957BAB51-81FF-8195-F273-D7E286EA702F} -> loeschen ** PC neustarten --------- 3. scanne mit bitdefender und ewido und poste die scanreporte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2006, 18:51
Member
Beiträge: 156 |
#9
Hier die bitdefender und ewido scanreporte:
__________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@2o7[2].txt Risk: Medium Name: TrackingCookie.Falkag Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@as1.falkag[1].txt Risk: Medium Name: TrackingCookie.Com Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@com[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@ivwbox[2].txt Risk: Medium Name: TrackingCookie.Weborama Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@weborama[2].txt Risk: Medium ------------------------------- BitDefender Online Scanner C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISCDEBF9E7BCEB43A7986CE66377C28ABC_1_0_0.MSI Infiziert: Trojan.Downloader.Agent.XQ C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISCDEBF9E7BCEB43A7986CE66377C28ABC_1_0_0.MSI Desinfektion fehlgeschlagen C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISCDEBF9E7BCEB43A7986CE66377C28ABC_1_0_0.MSI Gelöscht C:\RECYCLER\NPROTECT\00059281.jar=>(Quarantine-2)=>BlackBox.class Infiziert: Java.Trojan.Exploit.Bytverify C:\RECYCLER\NPROTECT\00059281.jar=>(Quarantine-2)=>BlackBox.class Desinfektion fehlgeschlagen C:\RECYCLER\NPROTECT\00059281.jar=>(Quarantine-2)=>BlackBox.class Gelöscht C:\System Volume Information\_restore{D67CAAF8-A20E-4B7C-8B9B-D553829E4586}\RP63\A0015996.MSI Desinfektion fehlgeschlagen C:\System Volume Information\_restore{D67CAAF8-A20E-4B7C-8B9B-D553829E4586}\RP63\A0015996.MSI Gelöscht edit (Sabina) __________ Danke für Eure super Unterstützung! Lg Stefan |
|
|
||
19.08.2006, 19:03
Ehrenmitglied
Beiträge: 29434 |
#10
Okto1967
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) dann sollte wieder alles o.k. sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.08.2006, 22:17
Member
Beiträge: 156 |
#11
Hallo Sabina,
mein Rechner ist nun Sauber und dafür danke. Nun mal zum Rechner meiner Freundin,kannst du mal schauen ob das soweit okay ist. Der Rechner macht Zicken ohne Ende und ich denke das hier auch was nicht stimmt. Danke im vorraus. Logfile: Logfile of HijackThis v1.99.1 Scan saved at 21:57:08, on 19.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Besucher\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) Datfinder. Ich Kopiere system32 bis 2003 Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0B2B-14FA Verzeichnis von C:\WINDOWS\system32 19.08.2006 20:56 2.206 wpa.dbl 01.08.2006 09:56 314.508 perfh009.dat 01.08.2006 09:56 724.842 PerfStringBackup.INI 01.08.2006 09:56 40.836 perfc009.dat 01.08.2006 09:56 320.094 perfh007.dat 01.08.2006 09:56 49.174 perfc007.dat 31.07.2006 16:00 169.096 FNTCACHE.DAT 28.07.2006 13:28 3.075.072 mshtml.dll 27.07.2006 15:25 679.424 inetcomm.dll 25.07.2006 22:33 615.936 urlmon.dll 24.07.2006 11:15 261 $winnt$.inf 24.07.2006 11:09 2.951 CONFIG.NT 24.07.2006 11:09 23.392 nscompat.tlb 24.07.2006 11:09 16.832 amcompat.tlb 24.07.2006 11:08 488 logonui.exe.manifest 24.07.2006 11:08 488 WindowsLogon.manifest 24.07.2006 11:08 749 cdplayer.exe.manifest 24.07.2006 11:08 749 wuaucpl.cpl.manifest 24.07.2006 11:08 749 sapi.cpl.manifest 24.07.2006 11:08 749 nwc.cpl.manifest 24.07.2006 11:08 749 ncpa.cpl.manifest 24.07.2006 11:05 21.740 emptyregdb.dat 24.07.2006 11:01 0 h323log.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0B2B-14FA Verzeichnis von C:\DOKUME~1\Besucher\LOKALE~1\Temp Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0B2B-14FA Verzeichnis von C:\WINDOWS 19.08.2006 21:49 10.188 SchedLgU.Txt 19.08.2006 21:49 1.068.443 WindowsUpdate.log 19.08.2006 21:26 0 0.log 19.08.2006 21:25 299.245 setupapi.log 19.08.2006 21:25 2.048 bootstat.dat 19.08.2006 21:15 529 wiadebug.log 19.08.2006 21:15 50 wiaservc.log 18.08.2006 20:35 1.519 OEWABLog.txt 18.08.2006 20:35 1.574 wmsetup.log 12.08.2006 19:10 1.374 imsins.log 12.08.2006 19:10 81.085 ntdtcsetup.log 12.08.2006 19:10 168.163 tsoc.log 12.08.2006 19:10 18.668 tabletoc.log 12.08.2006 19:10 20.037 ocmsn.log 12.08.2006 19:10 15.518 KB920214.log 12.08.2006 19:10 134.091 comsetup.log 12.08.2006 19:10 423.888 iis6.log 12.08.2006 19:10 178.028 ocgen.log 12.08.2006 19:10 18.175 msgsocm.log 12.08.2006 19:10 116.076 msmqinst.log 12.08.2006 19:10 357.779 FaxSetup.log 12.08.2006 19:10 25.287 MedCtrOC.log 133 Datei(en) 11.420.470 Bytes 0 Verzeichnis(se), 53.480.947.712 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 0B2B-14FA Verzeichnis von C:\ 19.08.2006 22:13 0 sys.txt 19.08.2006 22:13 6.832 system.txt 19.08.2006 22:13 136 systemtemp.txt 19.08.2006 22:06 89.987 system32.txt 19.08.2006 21:25 804.835.328 hiberfil.sys 19.08.2006 21:25 1.207.959.552 PAGEFILE.SYS 24.07.2006 11:09 0 CONFIG.SYS 24.07.2006 11:09 0 AUTOEXEC.BAT 24.07.2006 11:09 0 IO.SYS 24.07.2006 11:09 0 MSDOS.SYS 24.07.2006 11:01 211 boot.ini 23.07.2006 13:38 1.187 SETUPLOG.TXT 31.12.2002 12:00 4.952 bootfont.bin 31.12.2002 12:00 251.184 ntldr 31.12.2002 12:00 47.564 NTDETECT.COM 15 Datei(en) 2.013.196.933 Bytes 0 Verzeichnis(se), 53.480.914.944 Bytes frei __________ Danke für Eure super Unterstützung! Lg Stefan |
|
|
||
19.08.2006, 23:35
Member
Beiträge: 156 |
#12
Ewido Repert
__________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Besucher\Cookies\besucher@ivwbox[1].txt Risk: Medium Name: TrackingCookie.2o7 Path: C:\Dokumente und Einstellungen\Besucher\Cookies\besucher@msnportal.112.2o7[1].txt Risk: Medium Name: TrackingCookie.Doubleclick Path: C:\Dokumente und Einstellungen\Besucher\Cookies\besucher@doubleclick[1].txt Risk: Medium edit (Sabina) __________ Danke für Eure super Unterstützung! Lg Stefan |
|
|
||
20.08.2006, 00:21
Ehrenmitglied
Beiträge: 29434 |
#13
istalliere Antivirus-free, scanne , am besten im abgesicherten modus, dann poste den scanreport
driver.dat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.08.2006, 11:30
Member
Beiträge: 156 |
#14
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 20. August 2006 11:16 Es wird nach 483267 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Besucher Computername: KARIN Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 19.08.2006 21:51:11 AVSCAN.DLL : 7.0.0.42 57384 19.08.2006 21:51:11 LUKE.DLL : 7.0.0.42 118824 19.08.2006 21:51:11 LUKERES.DLL : 7.0.0.42 32808 19.08.2006 21:51:11 ANTIVIR0.VDF : 6.35.0.1 7371264 19.08.2006 21:51:11 ANTIVIR1.VDF : 6.35.0.168 730112 19.08.2006 21:51:11 ANTIVIR2.VDF : 6.35.1.86 506880 19.08.2006 21:51:11 ANTIVIR3.VDF : 6.35.1.114 59392 19.08.2006 21:51:11 AVEWIN32.DLL : 7.1.1.2 1782272 19.08.2006 21:51:11 AVPREF.DLL : 7.0.0.1 53288 19.08.2006 21:51:11 AVREP.DLL : 6.35.1.100 757800 19.08.2006 21:51:11 AVRPBASE.DLL : 7.0.0.0 2162728 19.08.2006 21:51:11 AVPACK32.DLL : 7.1.0.1 335912 19.08.2006 21:51:11 AVREG.DLL : 6.31.0.90 27688 19.08.2006 21:51:11 NETNT.DLL : 6.32.0.0 6696 19.08.2006 21:51:11 NETNW.DLL : 6.32.0.0 9768 19.08.2006 21:51:11 RCIMAGE.DLL : 7.0.0.71 1642536 19.08.2006 21:51:13 RCTEXT.DLL : 7.0.0.75 77864 19.08.2006 21:51:13 Konfiguration für den aktuellen Suchlauf: Job Name......................: Lokale Laufwerke Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Bootsektoren..................: C,A,D Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 1 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Sonntag, 20. August 2006 11:16 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 24 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'A:\' [HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 11 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\PAGEFILE.SYS [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SOFTWARE.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SYSTEM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\DEFAULT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Besucher\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Besucher\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden! Das Gerät ist nicht bereit. Ende des Suchlaufs: Sonntag, 20. August 2006 11:28 Benötigte Zeit: 11:39 min Der Suchlauf wurde vollständig durchgeführt. 1887 Verzeichnisse wurden überprüft 139442 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1219 Archive wurden durchsucht 24 Warnungen 1 Hinweise __________ Danke für Eure super Unterstützung! Lg Stefan |
|
|
||
20.08.2006, 12:02
Ehrenmitglied
Beiträge: 29434 |
#15
Okto1967
keine Viren also Der Rechner macht Zicken ohne Ende - beschreibe mal naeher.............. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Hallo,
habe gerade noch ein Problem:
hab gestern einen online antivirus programm gestartet (von der angegebenen liste im anderen thread) und nach dem löschen der infected files geht bei mir gar nichts mehr ...
systemwiderherstellung war kurz davor deaktiviert worden und kann sich jetzt im abgesicherten modus nicht mehr zurückaktivieren ..
kann ich das problem irgendwie ohne eine neu installation von windows beheben ?? oder ist es ein hoffnungsloser fall ?
bitte um eine schnelle antwort, da auf meinen pc sehr wichtige daten sind und ich nur an we's nach hause fahren kann, um evtl. windows cd etc. zu holen
danke im voraus
mahmoud morsy
----------------------------------------------------------------------
Hallo,
da ich selber nicht mehr weiter weiß, wende ich mich hiermit an euch Profis und hoffe, ihr könnt mir weiterhelfen Es geht wie in der übersicht um mehrere Prozesse, die ich so nicht zuordnen kann (zBsp: ishost.exe, ismon.exe, uvm).
es besteht ebenfalls ein verdacht auf ein virus, was mir einige tools, die ich runtergezogen habe, um diese prozesse zu entfernen, beschädigt sodass ich diese tools nciht starten kann.
Vielen Dank im voraus.
Gruß
Mahmoud
------------------------------------------------------------------------
Hijackthis log
Logfile of HijackThis v1.99.1
Scan saved at 03:02:44, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ishost.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\ismon.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\0b65ab5e.exe
C:\Programme\Gemeinsame Dateien\{ECF60B7E-063B-1031-0223-050114050031}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Metacafe\MetacafeAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
E:\Downloads\neu\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [0b65ab5e.exe] C:\WINDOWS\system32\0b65ab5e.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [0b65ab5e.exe] C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\0b65ab5e.exe
O4 - Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D0CB6AA3-217E-443F-A78C-C476651BA388} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Combofix log:
Start Time= 18.08.2006 3:20:44,28
QuickScan did not find any signs of infected files
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-08-18 03:15:24 5120 ( A.... ) "C:\WINDOWS\system32\ismon.exe"
2006-08-18 03:05:08 ( .D... ) "C:\Programme\CleanUp!"
2006-08-18 02:28:28 13844 ( A.... ) "C:\WINDOWS\system32\fnacwiry.exe"
2006-08-18 02:08:40 573492 ( ..SH. ) "C:\WINDOWS\system32\gebyv.dll"
2006-08-18 01:58:04 35344 ( A.... ) "C:\WINDOWS\system32\ishost.exe"
2006-08-18 01:58:00 ( .D... ) "C:\Programme\ToolBar888"
2006-08-18 01:57:58 13312 ( A.... ) "C:\WINDOWS\system32\0b65ab5e.exe"
2006-08-18 01:57:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\{ECF60B7E-063B-1031-0223-050114050031}"
2006-08-18 01:57:54 40973 ( ..SH. ) "C:\WINDOWS\system32\xxywwwu.dll"
2006-08-18 01:57:48 18944 ( A.... ) "C:\WINDOWS\system32\winpsa32.dll"
2006-08-13 03:52:24 ( .D... ) "C:\Programme\Gemeinsame Dateien\xing shared"
2006-08-13 03:52:14 176167 ( A.... ) "C:\WINDOWS\system32\rmoc3260.dll"
2006-08-13 03:52:02 6656 ( A.... ) "C:\WINDOWS\system32\pndx5016.dll"
2006-08-13 03:52:02 5632 ( A.... ) "C:\WINDOWS\system32\pndx5032.dll"
2006-08-13 03:52:00 278528 ( A.... ) "C:\WINDOWS\system32\pncrt.dll"
2006-08-11 23:44:18 ( .D... ) "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype"
2006-08-11 23:44:12 ( .D... ) "C:\Programme\Skype"
2006-08-09 20:16:24 ( .D... ) "C:\Programme\Hide IP Platinum"
2006-08-04 09:12:42 37027 ( A.... ) "C:\WINDOWS\atmoUn.exe"
2006-08-04 09:12:40 ( .D... ) "C:\Programme\Viewpoint"
2006-07-27 15:25:20 679424 ( A.... ) "C:\WINDOWS\system32\inetcomm.dll"
2006-07-21 10:29:00 72704 ( A.... ) "C:\WINDOWS\system32\hlink.dll"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-07-13 15:34:28 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll"
2006-07-07 16:23:34 ( .D... ) "C:\Programme\MSN Messenger"
2006-07-05 12:55:22 1057792 ( A.... ) "C:\WINDOWS\system32\kernel32.dll"
2006-06-28 00:20:40 23688 ( A.... ) "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
2006-06-26 19:40:34 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-06-26 19:40:34 8192 ( A.... ) "C:\WINDOWS\system32\rasadhlp.dll"
2006-06-20 16:23:44 ( .D... ) "C:\Programme\PPStream"
2006-06-16 14:34:44 48936 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))
2006-08-18 02:28 13.844 C:\WINDOWS\system32\fnacwiry.exe
2006-08-18 02:08 573.492 C:\WINDOWS\system32\gebyv.dll
2006-08-18 01:58 5.120 C:\WINDOWS\system32\ismon.exe
2006-08-18 01:58 35.344 C:\WINDOWS\system32\ishost.exe
2006-08-18 01:57 40.973 C:\WINDOWS\system32\xxywwwu.dll
2006-08-18 01:57 18.944 C:\WINDOWS\system32\winpsa32.dll
2006-08-18 01:57 13.312 C:\WINDOWS\system32\0b65ab5e.exe
2006-08-04 09:12 37.027 C:\WINDOWS\atmoUn.exe
2006-07-18 21:32 44.544 C:\WINDOWS\system32\OVUI2.dll
2006-07-18 21:32 43.520 C:\WINDOWS\system32\OVUI2RC.dll
2006-07-18 21:32 39.424 C:\WINDOWS\system32\OVComS.exe
2006-07-18 21:32 20.480 C:\WINDOWS\system32\OVComC.dll
2006-07-18 21:32 116.736 C:\WINDOWS\system32\OVCodec2.dll
2006-07-18 21:31 54.272 C:\WINDOWS\system32\vfwwdm32.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"PadTouch"="C:\\Programme\\TOSHIBA\\Touch and Launch\\PadExe.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"CeEKEY"="C:\\Programme\\TOSHIBA\\E-KEY\\CeEKey.exe"
@=""
"TPNF"="C:\\Programme\\TOSHIBA\\TouchPad\\TPTray.exe"
"TPSMain"="TPSMain.exe"
"TCtryIOHook"="TCtrlIOHook.exe"
"TFncKy"="TFncKy.exe"
"Tvs"="C:\\Programme\\TOSHIBA\\Tvs\\TvsTray.exe"
"Zooming"="ZoomingHook.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"HWSetup"="C:\\Programme\\TOSHIBA\\TOSHIBA Applet\\HWSetup.exe hwSetUP"
"TOSHIBA Accessibility"="C:\\Programme\\TOSHIBA\\Accessibility\\FnKeyHook.exe"
"SVPWUTIL"="C:\\Programme\\Toshiba\\Windows Utilities\\SVPWUTIL.exe SVPwUTIL"
"NDSTray.exe"="NDSTray.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"CFSServ.exe"="CFSServ.exe -NoClient"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"CMESys"="\"C:\\Programme\\Gemeinsame Dateien\\CMEII\\CMESys.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"0b65ab5e.exe"="C:\\WINDOWS\\system32\\0b65ab5e.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"0b65ab5e.exe"="C:\\Dokumente und Einstellungen\\Admin\\Lokale Einstellungen\\Anwendungsdaten\\0b65ab5e.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ishost.exe"="ishost.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{ECF60B7E-063B-1031-0223-050114050031}"="\"C:\\Programme\\Gemeinsame Dateien\\{ECF60B7E-063B-1031-0223-050114050031}\\Update.exe\" mc-110-12-0000272"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Microsoft Office OneNote 2003 Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office OneNote 2003 Schnellstart.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\OFFICE11\\ONENOTEM.EXE /tsr"
"item"="Microsoft Office OneNote 2003 Schnellstart"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Acrobat Assistant.lnk"
"backup"="C:\\WINDOWS\\pss\\Acrobat Assistant.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Distillr\\acrotray.exe "
"item"="Acrobat Assistant"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BTTray.lnk"
"backup"="C:\\WINDOWS\\pss\\BTTray.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\BT500\\BTTray.exe "
"item"="BTTray"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Cisco Systems VPN Client.lnk"
"backup"="C:\\WINDOWS\\pss\\Cisco Systems VPN Client.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\CISCOS~1\\VPNCLI~1\\vpngui.exe \"-user_logon\""
"item"="Cisco Systems VPN Client"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Apoint"
"hkey"="HKLM"
"command"="C:\\Programme\\Apoint2K\\Apoint.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpcmpmgr"
"hkey"="HKLM"
"command"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="\"C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InCD"
"hkey"="HKLM"
"command"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIDEBAR]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dsidebar"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Desktop Sidebar\\dsidebar.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sonic RecordNow!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="\"E:\\Games\\Steam\\Steam.exe\" -silent"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VCDDaemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"inimapping"="0"
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 18.08.2006 3:21:36,54
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt
edit