TR/Vundo.gen in ssqpn.dllThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
06.09.2006, 11:32
Member
Beiträge: 29 |
||
|
||
06.09.2006, 12:09
Ehrenmitglied
Beiträge: 29434 |
#17
Skorpi
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankPC neustarten ** poste das neue Log vom HijackThis ** scanne mit ewido (Online) und poste den report http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2006, 13:44
...neu hier
Beiträge: 3 |
#18
Sabina
die dateien werde ihc ncoh posten wenn ich sie finde. aber nachdem ich jetzt gemacht habe was du gesagt hast, sind alle viren weg. es gibt zumindest nicht mehr die geringsten anzeichen dafür dass sie noch da sind. ist schonma nen gutes zeichen DANKE |
|
|
||
06.09.2006, 16:27
...neu hier
Themenstarter Beiträge: 5 |
#19
Danke Sabina, du bist echt ein Schatz, ein richtiger Web-Engel^^ *drück*
Möcht bloß mal wissen, warum jemand so ein Zeugs programmiert...was hat man davon, arme kleine Dummies zu ärgern? Das Backup hatte ich gleich nach meinem Virenscan mit antivir entfernt. Die andere Datei in Temp gibt es auch nicht mehr. Ist es eigtl normal, dass man so viele Warnungen beim Scan angezeigt bekommt? Wenn ja, dann is ja alles ok -.~ AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Mittwoch, 6. September 2006 09:14 Es wird nach 494974 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Li2 Computername: PEGASUS Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 11.2.2006 15:51:11 AVSCAN.DLL : 7.0.0.42 57384 11.2.2006 15:51:11 LUKE.DLL : 7.0.0.42 118824 11.2.2006 15:51:12 LUKERES.DLL : 7.0.0.42 32808 11.2.2006 15:51:12 ANTIVIR0.VDF : 6.35.0.1 7371264 11.2.2006 15:51:11 ANTIVIR1.VDF : 6.35.1.122 1270784 11.2.2006 15:51:11 ANTIVIR2.VDF : 6.35.1.175 144896 11.2.2006 15:51:11 ANTIVIR3.VDF : 6.35.1.188 27648 11.2.2006 15:51:11 AVEWIN32.DLL : 7.1.1.11 1827328 11.2.2006 15:51:11 AVPREF.DLL : 7.0.0.1 53288 11.2.2006 15:51:11 AVREP.DLL : 6.35.1.124 774184 11.2.2006 15:51:11 AVRPBASE.DLL : 7.0.0.0 2162728 4.5.2006 16:19:47 AVPACK32.DLL : 7.1.0.1 335912 11.2.2006 15:51:11 AVREG.DLL : 6.31.0.90 27688 11.2.2006 15:51:11 NETNT.DLL : 6.32.0.0 6696 11.2.2006 15:51:12 NETNW.DLL : 6.32.0.0 9768 11.2.2006 15:51:12 RCIMAGE.DLL : 7.0.0.71 1642536 11.2.2006 15:51:12 RCTEXT.DLL : 7.0.0.75 77864 11.2.2006 15:51:12 Konfiguration für den aktuellen Suchlauf: Job Name......................: Manuelle Auswahl Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Bootsektoren..................: C,D,E Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 1 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Mittwoch, 6. September 2006 09:14 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 32 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 14 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\avenger\backup-Di 05.09.2006-14.28.51,65.zip [0] Archivtyp: ZIP --> avenger/ssqpn.dll------------------------------------->habe ich mit tuneup geschreddert [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [WARNUNG] Die Datei wurde ignoriert. C:\Dokumente und Einstellungen\Li2\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Li2\NTUSER.DAT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Temp\hsperfdata_Li2\2448 [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd6941.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\ZLT025ca.TMP [WARNUNG] Die Datei konnte nicht geöffnet werden! Ende des Suchlaufs: Mittwoch, 6. September 2006 09:58 Benötigte Zeit: 44:27 min Der Suchlauf wurde vollständig durchgeführt. 6095 Verzeichnisse wurden überprüft 217166 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1147 Archive wurden durchsucht 29 Warnungen 0 Hinweise |
|
|
||
06.09.2006, 21:31
Member
Beiträge: 29 |
#20
Hi SABINA!
Also die HiJack Maleware Einträge die du aufgelistet hast, existieren nicht alle. Es konnte lediglich O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe O4 - HKCU\..\Run: [b6e17ae7.exe] C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\b6e17ae7.exe gefunden und gefixed werden. Danach Neustart durchgeführt. Dann wieder HiJack Scan durchgeführt. Hier der Scan VOR und NACH dem fixed check. VORHER Logfile of HijackThis v1.99.1 Scan saved at 21:13:22, on 06.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\SPAMfighter\SFAgent.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\Trojaner\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKCU\..\Run: [b6e17ae7.exe] C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\b6e17ae7.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe NACHHER Logfile of HijackThis v1.99.1 Scan saved at 21:26:52, on 06.09.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\SPAMfighter\SFAgent.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\Trojaner\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe EWIDO REPORT __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: TrackingCookie.Quarterserver Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@ads-205.quarterserver[1].txt Risk: Medium Name: TrackingCookie.Addcontrol Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@axa.addcontrol[2].txt Risk: Medium Name: TrackingCookie.Com Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@com[1].txt Risk: Medium Name: TrackingCookie.Ivwbox Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@ivwbox[1].txt Risk: Medium Name: TrackingCookie.Oewabox Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@oewabox[1].txt Risk: Medium Name: TrackingCookie.Tfag Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@php.sales.tfag[2].txt Risk: Medium Name: TrackingCookie.Popularix Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@ppms.popularix[2].txt Risk: Medium Name: TrackingCookie.Targad Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@targad[1].txt Risk: Medium Name: TrackingCookie.Tfag Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@tfag[1].txt Risk: Medium Name: Adware.ToolBar888 Path: C:\Programme\ToolBar888 Risk: Medium Name: Adware.ToolBar888 Path: C:\Programme\ToolBar888\Uninst.exe Risk: Medium Dieser Beitrag wurde am 06.09.2006 um 22:27 Uhr von Skorpi editiert.
|
|
|
||
06.09.2006, 23:40
Ehrenmitglied
Beiträge: 29434 |
#21
Skorpi
toolbar888_remove http://virus-protect.org/artikel/spyware/toolbar888_remove.html ------------------------------------------------- Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2006, 23:50
Member
Beiträge: 29 |
#22
Hallo Sabina!
Kann mit dem Link von toolbar888_remove nichts anfangen, dort wird ein Trojaner von Antivir erläutert.... http://www.avira.com/de/threats/section/fulldetails/id_vir/2435/dr_softomate.q.1.html Oder verstehe ich da was nicht ganz *Schulternzuck* |
|
|
||
07.09.2006, 00:06
Ehrenmitglied
Beiträge: 29434 |
#23
der link ist nur als info gedacht,,, sind meine gesammelten Werke
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2006, 00:10
Member
Beiträge: 29 |
#24
Was mache ich denn mit Tollbar_888 remove? Habe keine Beschreibung oder so... Oder brauche ich nur Avenger durchführen wie du geschrieben hast? Bin glaub ich schon a bissl irritiert.. von den ganzen Trojanern
|
|
|
||
07.09.2006, 00:15
Ehrenmitglied
Beiträge: 29434 |
#25
Skorpi
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.09.2006, 11:04
Member
Beiträge: 29 |
#26
Hallo SABINA!
Avenger wurde ausgeführt. Mehrere Befehle konnten nicht ausgeführt werden - siehe Log. ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A} Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CURRENT_USER\Software\MyToolBar Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\CLSID\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A} Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B} Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208} Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj.1 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\qfjqqdsd ******************* Script file located at: \??\C:\tvawumtk.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Could not open file C:\Programme\Toolbar888\ToolBar888.dll for deletion Deletion of file C:\Programme\Toolbar888\ToolBar888.dll failed! Could not process line: C:\Programme\Toolbar888\ToolBar888.dll Status: 0xc000003a Could not open file C:\Programme\ToolBar888\MyToolBar.dll for deletion Deletion of file C:\Programme\ToolBar888\MyToolBar.dll failed! Could not process line: C:\Programme\ToolBar888\MyToolBar.dll Status: 0xc000003a Could not open file C:\Programme\ToolBar888\Activate.exe for deletion Deletion of file C:\Programme\ToolBar888\Activate.exe failed! Could not process line: C:\Programme\ToolBar888\Activate.exe Status: 0xc000003a Could not open file C:\Programme\ToolBar888\Uninst.exe for deletion Deletion of file C:\Programme\ToolBar888\Uninst.exe failed! Could not process line: C:\Programme\ToolBar888\Uninst.exe Status: 0xc000003a Folder C:\Programme\ToolBar888 not found! Deletion of folder C:\Programme\ToolBar888 failed! Could not process line: C:\Programme\ToolBar888 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
07.09.2006, 15:51
Ehrenmitglied
Beiträge: 29434 |
||
|
||
07.09.2006, 23:02
Member
Beiträge: 29 |
#28
Ok.. super danke dir! AntiVir hat auch seitdem nicht mehr gemeckert
Was mache ich mit den ganzen installierten Programmen? Kann ich die alle deinstallieren bzw. kannst du welche empfehlen, welche ich drauflassen bzw. andere installieren soll, um mehr vorzubeugen? Halte gerne "Ordnung" auf dem PC und möchte überflüssige Programme halt löschen Lieben Gruß, Skorpi --> habe gerade noch mal den AntiVir komplett Scannen lassen... insgesamt wurden noch 10 Meldungen (Trojaner) aufgefunden, hier noch mal das Log. Ist das i. O.? AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Donnerstag, 7. September 2006 23:17 Es wird nach 495576 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: DIDI-P03JA62WUJ Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 09.07.2006 13:17:41 AVSCAN.DLL : 7.0.0.42 57384 09.07.2006 13:17:41 LUKE.DLL : 7.0.0.42 118824 09.07.2006 13:17:43 LUKERES.DLL : 7.0.0.42 32808 09.07.2006 13:17:43 ANTIVIR0.VDF : 6.35.0.1 7371264 09.07.2006 13:17:41 ANTIVIR1.VDF : 6.35.1.122 1270784 09.07.2006 13:17:41 ANTIVIR2.VDF : 6.35.1.175 144896 09.07.2006 13:17:41 ANTIVIR3.VDF : 6.35.1.199 43008 09.07.2006 13:17:41 AVEWIN32.DLL : 7.1.1.14 1835520 09.07.2006 13:17:41 AVPREF.DLL : 7.0.0.1 53288 09.07.2006 13:17:41 AVREP.DLL : 6.35.1.191 794664 09.07.2006 13:17:41 AVRPBASE.DLL : 7.0.0.0 2162728 09.07.2006 13:17:41 AVPACK32.DLL : 7.1.0.1 335912 09.07.2006 13:17:41 AVREG.DLL : 6.31.0.90 27688 09.07.2006 13:17:41 NETNT.DLL : 6.32.0.0 6696 09.07.2006 13:17:45 NETNW.DLL : 6.32.0.0 9768 09.07.2006 13:17:45 RCIMAGE.DLL : 7.0.0.71 1642536 09.07.2006 13:17:49 RCTEXT.DLL : 7.0.0.75 77864 09.07.2006 13:17:49 Konfiguration für den aktuellen Suchlauf: Job Name......................: Manuelle Auswahl Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Bootsektoren..................: C Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Donnerstag, 7. September 2006 23:17 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 28 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 21 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\ntuser.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5ZZF1X0E\l11[1].exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.adt.2 [INFO] Die Datei wurde gelöscht. C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0063967.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.aip [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065004.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.adt.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45308f97.qua' verschoben! C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065007.dll [FUND] Ist das Trojanische Pferd TR/Vundo.Gen [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065009.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aar [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065015.dll [FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.42 [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065022.exe [FUND] Ist das Trojanische Pferd TR/Starter.V.1 [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065023.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aar [INFO] Die Datei wurde gelöscht. C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065029.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aar [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\default.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\Temp\win22.tmp.exe [FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.adt.2 [INFO] Die Datei wurde gelöscht. Ende des Suchlaufs: Donnerstag, 7. September 2006 23:53 Benötigte Zeit: 35:19 min Der Suchlauf wurde vollständig durchgeführt. 2682 Verzeichnisse wurden überprüft 94975 Dateien wurden geprüft 10 Viren bzw. unerwünschte Programme wurden gefunden 9 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 772 Archive wurden durchsucht 24 Warnungen 0 Hinweise Dieser Beitrag wurde am 08.09.2006 um 00:00 Uhr von Skorpi editiert.
|
|
|
||
08.09.2006, 15:46
Ehrenmitglied
Beiträge: 29434 |
#29
0.
loesche alle: C:\WINDOWS\Temp\win....tmp 1. Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. dann wieder aktivieren 2. Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k 3. die proggies packe in einen Ordner "Sicherheit" und heb sie auf...man weiss ja nie....... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.09.2006, 17:09
Member
Beiträge: 22 |
#30
Hi, ich habe das selbe problem mit dem Vundo, nur dass es bei mir in der Datei ssqpp.dll ist. Kannst du mir da helfen? Die logs habe ich auch schon eingefügt.
Logs: ________________________hjt___________________________________ Logfile of HijackThis v1.99.1 Scan saved at 00:10:58, on 08.09.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sw24.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\Microsoft IntelliType Pro\itype.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\RunDLL32.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe c:\progra~1\intern~1\iexplore.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Malaka\Desktop\hjt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file) O1 - Hosts: 65.19.154.99 www.halifax-online.co.uk O1 - Hosts: 65.19.154.99 ibank.barclays.co.uk O1 - Hosts: 65.19.154.99 online.lloydstsb.co.uk O1 - Hosts: 65.19.154.99 online-business.lloydstsb.co.uk O1 - Hosts: 65.19.154.99 www.ukpersonal.hsbc.co.uk O1 - Hosts: 65.19.154.99 banesnet.banesto.es O1 - Hosts: 65.19.154.99 extranet.banesto.es O1 - Hosts: 65.19.154.99 ebanking.bccbrescia.it O1 - Hosts: 65.19.154.99 www.bankofscotlandhalifax-online.co.uk O1 - Hosts: 65.19.154.99 oi.cajamadrid.es O1 - Hosts: 65.19.154.99 bancae.caixapenedes.com O1 - Hosts: 65.19.154.99 banking.postbank.de O1 - Hosts: 65.19.154.99 meine.deutsche-bank.de O1 - Hosts: 65.19.154.99 myonlineaccounts2.abbeynational.co.uk O1 - Hosts: 65.19.154.99 ibank.cahoot.com O1 - Hosts: 65.19.154.99 webbank.openplan.co.uk O1 - Hosts: 65.19.154.99 bancopostaonline.poste.it O1 - Hosts: 65.19.154.99 mybank.bybank.it O1 - Hosts: 65.19.154.99 ibank.internationalbanking.barclays.com O1 - Hosts: 65.19.154.99 welcome7.co-operativebank.co.uk O1 - Hosts: 65.19.154.99 welcome11.co-operativebankonline.co.uk O2 - BHO: ATLDistrib Object - {2353FCBC-012D-487B-8BF3-865C0929FBEB} - C:\WINDOWS\System32\ssqpp.dll O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\ddcca.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [winlog] winlog.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [winlog] winlog.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe O4 - HKCU\..\Run: [BaitOnce] C:\DOKUME~1\Malaka\ANWEND~1\LOUD2J~1\Barb Eggs.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &MyToolBar Search - res://C:\Programme\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O15 - Trusted Zone: http://locator.cdn.imageservr.com O15 - Trusted Zone: http://scanner.sysprotect.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{592C9E7E-8041-4F1A-BF33-D9DE7AB1FB56}: NameServer = 195.50.140.250 195.50.140.114 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\guard.tmp (file missing) O20 - Winlogon Notify: ddcca - C:\WINDOWS\SYSTEM32\ddcca.dll O20 - Winlogon Notify: ssqpp - C:\WINDOWS\System32\ssqpp.dll O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\srimeng.dll (file missing) O20 - Winlogon Notify: URL - C:\WINDOWS\system32\azam0171e.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UGFwcGFz\command.exe (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: DcomHelper Service (DcomHelper) - Creative Technology Ltd - (no file) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe __________________________ComboFix________________________________ Malaka - 06-09-08 1:38:00.00 ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Malaka\Desktop Microsoft Windows XP [Version 5.1.2600] ((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log )))))))))))))))))))))))))))))))))))))))))))))))))) REGISTRY ENTRIES REMOVED: [HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}] @="" [HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}\InprocServer32] @="C:\\WINDOWS\\system32\\mjw3prt.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}] @="" [HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}\InprocServer32] @="C:\\WINDOWS\\system32\\uerdpa.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}] @="" [HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}\InprocServer32] @="C:\\WINDOWS\\system32\\wuhcon.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}] @="" [HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}\InprocServer32] @="C:\\WINDOWS\\system32\\uaer32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}] @="" [HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}\InprocServer32] @="C:\\WINDOWS\\system32\\nwlanui2.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}] @="" [HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}\InprocServer32] @="C:\\WINDOWS\\system32\\xpnroll.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}] @="" [HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}\InprocServer32] @="C:\\WINDOWS\\system32\\dywsock.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}] @="" [HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}\InprocServer32] @="C:\\WINDOWS\\system32\\nlwrsda.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}] @="" [HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}\InprocServer32] @="C:\\WINDOWS\\system32\\LhgitCheckControl.DLL" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}] @="" [HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}\InprocServer32] @="C:\\WINDOWS\\system32\\nlrsit.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}] @="" [HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}\InprocServer32] @="C:\\WINDOWS\\system32\\ogbcp32r.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}] @="" [HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}\InprocServer32] @="C:\\WINDOWS\\system32\\CEMedEng.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}] @="" [HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}\InprocServer32] @="C:\\WINDOWS\\system32\\iBsrad.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}] @="" [HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}\InprocServer32] @="C:\\WINDOWS\\system32\\ukrsdpia.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}] @="" [HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}\InprocServer32] @="C:\\WINDOWS\\system32\\dnvenum.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}] @="" [HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}\InprocServer32] @="C:\\WINDOWS\\system32\\oktext32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}] @="" [HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}\InprocServer32] @="C:\\WINDOWS\\system32\\ijitpki.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}] @="" [HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}\InprocServer32] @="C:\\WINDOWS\\system32\\czyptsvc.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}] @="" [HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}\InprocServer32] @="C:\\WINDOWS\\system32\\mrvcp50.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}] @="" [HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}] @="" [HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}\InprocServer32] @="C:\\WINDOWS\\system32\\nftui1.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}] @="" [HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}\InprocServer32] @="C:\\WINDOWS\\system32\\osesvr32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}] @="" [HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}\InprocServer32] @="C:\\WINDOWS\\system32\\cumpobj.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}] @="" [HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}] @="" [HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}\InprocServer32] @="C:\\WINDOWS\\system32\\rGsapi32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}] @="" [HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}\InprocServer32] @="C:\\WINDOWS\\system32\\cnmsnap.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}] @="" [HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}\InprocServer32] @="C:\\WINDOWS\\system32\\fusrch.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}] @="" [HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}\InprocServer32] @="C:\\WINDOWS\\system32\\mavcp50.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}] @="" [HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}\InprocServer32] @="C:\\WINDOWS\\system32\\guard.tmp" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}] @="" "IDEx"="AD" [HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}\InprocServer32] @="C:\\WINDOWS\\system32\\masip32.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}] @="" [HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}\InprocServer32] @="C:\\WINDOWS\\system32\\sadpapi.dll" "ThreadingModel"="Apartment" [HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}] @="" [HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}\InprocServer32] @="C:\\WINDOWS\\system32\\iLssdo.dll" "ThreadingModel"="Apartment" * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * FILES REMOVED: C:\WINDOWS\system32\f0j20a1oed.dll C:\WINDOWS\system32\mgtext40.dll C:\WINDOWS\system32\mpisam11.dll C:\WINDOWS\system32\MWSCP.dll C:\WINDOWS\system32\sacur32.dll C:\WINDOWS\system32\sicsccp.dll C:\WINDOWS\system32\smftpub.dll ((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Sskdmns.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\msiexec.dll C:\WINDOWS\system32\winsys.exe C:\WINDOWS\uninstall_nmon.vbs C:\WINDOWS\system32\atmtd.dll C:\WINDOWS\system32\atmtd.dll._ C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon C:\Programme\Gemeinsame Dateien\inetget C:\Programme\Deskbar C:\Programme\Inetget2 C:\Programme\Gemeinsame Dateien\{981D0EB5-07DA-1031-0909-050610050031} C:\Programme\Gemeinsame Dateien\inetget ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\QooBox\Purity\Dokumente und Einstellungen\Malaka\Anwendungsdaten\SMBOLS~1 C:\QooBox\Purity\Dokumente und Einstellungen\Malaka\Anwendungsdaten\SMBOLS~1\c?rss.exe C:\QooBox\Purity\WINDOWS\YSTEM3~1 C:\QooBox\Purity\WINDOWS\YSTEM3~1\YSTEM3~1 ((((((((((((((((((((((((((((((( Files Created from 2006-08-08 to 2006-09-08 )))))))))))))))))))))))))))))))))) 2006-09-08 00:07 218,112 --a------ C:\t.exe 2006-08-30 17:09 86,016 -ra------ C:\WINDOWS\CtDrvIns.exe 2006-08-30 17:09 49,152 -ra------ C:\WINDOWS\system32\P0630Hwx.dll 2006-08-30 17:09 36,864 -ra------ C:\WINDOWS\system32\P0630Pin.dll 2006-08-30 17:09 36,864 -ra------ C:\WINDOWS\system32\CtCamMgr.dll 2006-08-30 17:09 32,768 -ra------ C:\WINDOWS\system32\P0630Sti.dll 2006-08-30 17:09 20,480 -ra------ C:\WINDOWS\system32\P0630Srv.exe 2006-08-30 17:09 20,480 -ra------ C:\WINDOWS\P0630Cfg.exe 2006-08-30 17:09 126,976 -ra------ C:\WINDOWS\system32\P0630Vfw.dll 2006-08-30 16:55 24,576 -ra------ C:\WINDOWS\system32\P0630Aor.dll 2006-08-30 16:52 24,576 --------- C:\WINDOWS\system32\CTWEBFUN.DLL 2006-08-30 01:08 18,359 --a------ C:\WINDOWS\system32\Ntaccess.sys 2006-08-28 22:16 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll 2006-08-20 22:23 57,384 --a------ C:\WINDOWS\system32\avsda.dll 2006-08-19 22:30 61,952 --a------ C:\WINDOWS\system32\den3cfc8.dll 2006-08-19 22:30 1,167 --a------ C:\WINDOWS\system32\den3cfc8.sys (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-08 01:41 -------- d-------- C:\Programme\Gemeinsame Dateien 2006-09-08 01:15 1193067 ---hs---- C:\WINDOWS\system32\ppqss.bak2 2006-09-07 23:18 -------- d-------- C:\Programme\MSN Messenger 2006-09-07 23:15 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-09-07 01:13 1187730 ---hs---- C:\WINDOWS\system32\ppqss.bak1 2006-09-04 23:28 -------- d-------- C:\Programme\Opera 2006-09-02 01:26 1143689 ---hs---- C:\WINDOWS\system32\ppqss.ini2 2006-08-30 17:05 -------- d-------- C:\Programme\Creative 2006-08-30 16:59 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Creative 2006-08-30 16:54 -------- d-------- C:\Programme\SightSpeed 2006-08-24 14:47 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\teamspeak2 2006-08-23 23:38 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2006-08-22 11:27 -------- d-------- C:\Programme\Save 2006-08-20 22:32 -------- d-------- C:\Programme\Gemeinsame Dateien\wwqw 2006-08-20 22:23 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic 2006-08-20 17:05 -------- d-------- C:\Programme\MyGlobalSearch 2006-08-19 22:30 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\InstallShield 2006-08-18 16:14 -------- d-------- C:\Programme\MessengerPlus! 3 2006-08-18 16:07 -------- d-------- C:\Programme\Loud2Junk 2006-08-18 16:07 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Loud2Junk 2006-08-18 16:07 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\BLAH COAL 2006-08-18 16:05 -------- d-------- C:\Programme\Adverts 2006-08-17 22:57 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Azureus 2006-07-10 00:51 -------- d-------- C:\Programme\thriXXX 2006-06-26 11:46 602 --a------ C:\Programme\INSTALL.LOG 2006-06-26 01:16 2 --a------ C:\WINDOWS\system32\wintcc.exe (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "SW20"="C:\\WINDOWS\\System32\\sw20.exe" "SW24"="C:\\WINDOWS\\System32\\sw24.exe" "Disc Detector"="C:\\Programme\\Creative\\ShareDLL\\CtNotify.exe" "CTStartup"="C:\\Programme\\Creative\\Splash Screen\\CTEaxSpl.EXE /run" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "itype"="\"C:\\Programme\\Microsoft IntelliType Pro\\itype.exe\"" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit" "BearShare"="\"D:\\Programme\\BearShare\\BearShare.exe\" /pause" "Zone Labs Client"="\"D:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe" "BaitOnce"="C:\\DOKUME~1\\Malaka\\ANWEND~1\\LOUD2J~1\\Barb Eggs.exe" "msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce\CTStartup] "CTStartup"="\"C:\\Programme\\Creative\\Splash Screen\\CTEaxSpl.EXE\" /play" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=hex:5f,00,00,00 @="" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,e2,02,\ 00,00,04,00,00,40 "RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,e2,02,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "wwqw"="C:\\PROGRA~1\\GEMEIN~1\\wwqw\\wwqwm.exe" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "wwqw"="C:\\PROGRA~1\\GEMEIN~1\\wwqw\\wwqwm.exe" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk" "backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE " "item"="Adobe Reader - Schnellstart" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CoreCenter.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\CoreCenter.lnk" "backup"="C:\\WINDOWS\\pss\\CoreCenter.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MSI\\CORECE~1\\CORECE~1.EXE " "item"="CoreCenter" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DigiCell.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\DigiCell.lnk" "backup"="C:\\WINDOWS\\pss\\DigiCell.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MSI\\DigiCell\\DigiCell.exe " "item"="DigiCell" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech SetPoint.lnk" "backup"="C:\\WINDOWS\\pss\\Logitech SetPoint.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Logitech\\SetPoint\\KEM.exe " "item"="Logitech SetPoint" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AltnetPointsManager] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="points manager" "hkey"="HKLM" "command"="c:\\program files\\altnet\\points manager\\points manager.exe -s" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BaitOnce] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Barb Eggs" "hkey"="HKCU" "command"="C:\\DOKUME~1\\Malaka\\ANWEND~1\\LOUD2J~1\\Barb Eggs.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BearShare] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="BearShare" "hkey"="HKLM" "command"="\"D:\\Programme\\BearShare\\BearShare.exe\" /pause" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NMBgMonitor" "hkey"="HKCU" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Creative WebCam Tray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="CamTray" "hkey"="HKCU" "command"="\"C:\\Programme\\Creative\\Shared Files\\CamTray.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="daemon" "hkey"="HKLM" "command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\defender] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dfndrff_12" "hkey"="HKLM" "command"="C:\\\\dfndrff_12.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\den3cfc8] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="RUNDLL32" "hkey"="HKLM" "command"="RUNDLL32.EXE w0071cfb.dll,n 0033cfc50000000a0071cfb" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\For Peak About Nurb] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Cash Type" "hkey"="HKLM" "command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\CdromHeckForPeak\\Cash Type.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IpWins] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ipwins" "hkey"="HKLM" "command"="C:\\Programme\\ipwins\\ipwins.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTunesHelper" "hkey"="HKLM" "command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Jet Detection] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ADGJDet" "hkey"="HKLM" "command"="C:\\Programme\\Creative\\SBAudigy\\PROGRAM\\ADGJDet.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KAZAA] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="kazaa" "hkey"="HKLM" "command"="D:\\Programme\\Kazaa\\kazaa.exe /SYSTRAY" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KernelFaultCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dumprep 0 -k" "hkey"="HKLM" "command"="%systemroot%\\system32\\dumprep 0 -k" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\keyboard] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="kybrdff_12" "hkey"="HKLM" "command"="C:\\\\kybrdff_12.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LanguageShortcut] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Language" "hkey"="HKLM" "command"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LiveMonitor] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LMonitor" "hkey"="HKLM" "command"="C:\\Programme\\MSI\\Live Update 3\\LMonitor.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Logitech Hardware Abstraction Layer] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="KHALMNPR" "hkey"="HKLM" "command"="KHALMNPR.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msnmsgr" "hkey"="HKCU" "command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSNS PLUS XP2] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winpad" "hkey"="HKLM" "command"="winpad.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\WINDOWS\\system32\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\newname] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="nwnmff_11" "hkey"="HKLM" "command"="C:\\\\nwnmff_11.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\outlook] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="outlook" "hkey"="HKLM" "command"="C:\\Programme\\outlook\\outlook.exe /auto" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\P2P Networking] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="P2P Networking" "hkey"="HKLM" "command"="C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.exe /AUTOSTART" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PCSuiteTrayApplication] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LAUNCH~1" "hkey"="HKLM" "command"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -onlytray" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PcSync] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PcSync2" "hkey"="HKCU" "command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RemoteControl] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PDVDServ" "hkey"="HKLM" "command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Rsrm] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="dvdplay" "hkey"="HKCU" "command"="\"C:\\WINDOWS\\YSTEM3~1\\dvdplay.exe\" -vt yazr" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SemanticInsight] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SemanticInsight" "hkey"="HKLM" "command"="C:\\Programme\\RXToolBar\\Semantic Insight\\SemanticInsight.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Services] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="tt38" "hkey"="HKLM" "command"="C:\\tt38.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SoundMan] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="SOUNDMAN" "hkey"="HKLM" "command"="SOUNDMAN.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Steam" "hkey"="HKCU" "command"="\"D:\\Spiele\\Steam\\Steam.exe\" -silent" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\STYLEXP] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="StyleXP" "hkey"="HKCU" "command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\tbon] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="tbon" "hkey"="HKCU" "command"="C:\\PROGRA~1\\TBONBin\\tbon.exe /r" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TClock.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="tclock_install" "hkey"="HKCU" "command"="C:\\Programme\\TClock\\tclock_install.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Tqtc] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="c?rss" "hkey"="HKCU" "command"="C:\\Dokumente und Einstellungen\\Malaka\\Anwendungsdaten\\s?mbols\\c?rss.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\updateMgr] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AdobeUpdateManager" "hkey"="HKCU" "command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UpdReg] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Updreg" "hkey"="HKLM" "command"="C:\\WINDOWS\\Updreg.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Save" "hkey"="HKCU" "command"="\"C:\\Programme\\Save\\Save.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winampa" "hkey"="HKLM" "command"="C:\\Programme\\Winamp\\winampa.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Windows ASN Services] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="hxw" "hkey"="HKLM" "command"="hxw.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\winsysban] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winsysban3" "hkey"="HKLM" "command"="C:\\windows\\winsysban3.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\wwqw] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="wwqwm" "hkey"="HKCU" "command"="C:\\PROGRA~1\\GEMEIN~1\\wwqw\\wwqwm.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zone Labs Client] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="zlclient" "hkey"="HKLM" "command"="\"D:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "inimapping"="0" HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcca HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpp Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job C:\WINDOWS\tasks\AFC4F1BC91CB62E4.job Completion time: 06-09-08 1:43:23.01 ComboFix.txt _______________________datfindbat_________________________________ Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 981D-0EB5 Verzeichnis von C:\WINDOWS\system32 06-09-08 02:10 1,193,512 ppqss.ini 06-09-08 01:57 54,107 vsconfig.xml 06-09-08 01:56 63,062 nvapps.xml 06-09-08 01:42 28,056 BMXBkpCtrlState-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx 06-09-08 01:42 28,056 BMXCtrlState-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx 06-09-08 01:42 24 DVCStateBkp-{00000000-00000000-00000006-00001102-00000004-00531102}.dat 06-09-08 01:42 24 DVCState-{00000000-00000000-00000006-00001102-00000004-00531102}.dat 06-09-08 01:42 1,072 settings.sfm 06-09-08 01:42 1,072 settingsbkup.sfm 06-09-08 01:42 20,160 BMXStateBkp-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx 06-09-08 01:42 20,160 BMXState-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx 06-09-08 01:15 1,193,067 ppqss.bak2 06-09-07 22:37 4,212 zllictbl.dat 06-09-07 01:13 1,187,730 ppqss.bak1 06-09-05 02:13 6,516 BMXCtrlState-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx 06-09-05 02:13 10,432 BMXState-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx 06-09-05 02:13 6,516 BMXBkpCtrlState-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx 06-09-05 02:13 10,432 BMXStateBkp-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx 06-09-02 01:26 1,143,689 ppqss.ini2 06-08-24 13:00 2,206 wpa.dbl 06-08-23 23:38 42,920 vsutil_loc0407.dll 06-08-23 23:38 392,824 vsdatant.sys 06-08-23 23:38 83,960 zlcomm.dll 06-08-23 23:38 71,672 zlcommdb.dll 06-08-23 23:38 59,384 vswmi.dll 06-08-23 23:38 100,344 vsxml.dll 06-08-23 23:38 440,312 vsutil.dll 06-08-23 23:38 268,280 vspubapi.dll 06-08-23 23:38 71,672 vsregexp.dll 06-08-23 23:38 104,440 vsmonapi.dll 06-08-23 23:38 157,688 vsinit.dll 06-08-23 23:37 83,960 vsdata.dll 06-08-20 22:16 1,167 den3cfc8.sys 06-08-19 22:30 61,952 den3cfc8.dll 06-06-26 01:16 2 wintcc.exe 06-06-20 23:32 796,584 libeay32_0.9.6l.dll 06-06-11 22:10 143 mcrh.tmp 06-06-06 16:51 139,264 rsm.dll 06-06-02 11:04 57,384 avsda.dll 06-06-01 19:09 208,896 NVUNINST.EXE 06-06-01 19:09 208,896 nvudisp.exe 06-06-01 19:09 208,896 nvunrm.exe 06-06-01 17:22 73,728 nvtuicpl.cpl 06-06-01 17:22 155,715 nvsvc32.exe 06-06-01 17:22 2,924,544 nvvitvs.dll 06-06-01 17:22 2,977,792 nvvitvsr.dll 06-06-01 17:22 81,920 nvwddi.dll 06-06-01 17:22 1,662,976 nvwdmcpl.dll 06-06-01 17:22 1,019,904 nvwimg.dll 06-06-01 17:22 282,624 nvwrsar.dll 06-06-01 17:22 266,240 nvrsptb.dll 06-06-01 17:22 286,720 nvwrscs.dll 06-06-01 17:22 425,984 keystone.exe 06-06-01 17:22 311,296 nvwrsde.dll 06-06-01 17:22 335,872 nvwrsel.dll 06-06-01 17:22 286,720 nvwrseng.dll 06-06-01 17:22 335,872 nvwrses.dll 06-06-01 17:22 327,680 nvwrsesm.dll 06-06-01 17:22 303,104 nvwrsfi.dll 06-06-01 17:22 327,680 nvwrsfr.dll 06-06-01 17:22 258,048 nvrspl.dll 06-06-01 17:22 253,952 nvrsno.dll 06-06-01 17:22 274,432 nvrsnl.dll 06-06-01 17:22 225,280 nvrszhc.dll 06-06-01 17:22 262,144 nvrsko.dll 06-06-01 17:22 266,240 nvrsja.dll 06-06-01 17:22 282,624 nvrsit.dll 06-06-01 17:22 122,880 nvrszht.dll 06-06-01 17:22 258,048 nvrstr.dll 06-06-01 17:22 253,952 nvrssv.dll 06-06-01 17:22 258,048 nvrshu.dll 06-06-01 17:22 258,048 nvrssl.dll 06-06-01 17:22 327,680 nvrshe.dll 06-06-01 17:22 278,528 nvwrshe.dll 06-06-01 17:22 315,392 nvwrshu.dll 06-06-01 17:22 323,584 nvwrsit.dll 06-06-01 17:22 212,992 nvwrsja.dll 06-06-01 17:22 196,608 nvwrsko.dll 06-06-01 17:22 466,944 nvshell.dll 06-06-01 17:22 319,488 nvwrsnl.dll 06-06-01 17:22 299,008 nvwrsno.dll 06-06-01 17:22 294,912 nvwrspl.dll 06-06-01 17:22 323,584 nvwrspt.dll 06-06-01 17:22 319,488 nvwrsptb.dll 06-06-01 17:22 315,392 nvwrsru.dll 06-06-01 17:22 299,008 nvwrssk.dll 06-06-01 17:22 303,104 nvwrssl.dll 06-06-01 17:22 294,912 nvwrssv.dll 06-06-01 17:22 303,104 nvwrstr.dll 06-06-01 17:22 163,840 nvwrszhc.dll 06-06-01 17:22 4,529,408 nv4_disp.dll 06-06-01 17:22 196,608 nvapi.dll 06-06-01 17:22 442,368 nvappbar.exe 06-06-01 17:22 282,624 nvrsfr.dll 06-06-01 17:22 249,856 nvrsfi.dll 06-06-01 17:22 274,432 nvrsesm.dll 06-06-01 17:22 258,048 nvrssk.dll 06-06-01 17:22 274,432 nvrspt.dll 06-06-01 17:22 282,624 nvrses.dll 06-06-01 17:22 245,760 nvrseng.dll 06-06-01 17:22 282,624 nvrsel.dll 06-06-01 17:22 278,528 nvrsde.dll 06-06-01 17:22 35,840 nvcod.dll 06-06-01 17:22 35,840 nvcodins.dll 06-06-01 17:22 167,936 nvwrszht.dll 06-06-01 17:22 1,257,472 nvwss.dll 06-06-01 17:22 147,456 nvcolor.exe 06-06-01 17:22 1,740,800 nvwssr.dll 06-06-01 17:22 1,519,616 nwiz.exe 06-06-01 17:22 888,832 nvmobls.dll 06-06-01 17:22 69,632 nvcpl.cpl 06-06-01 17:22 7,618,560 nvcpl.dll 06-06-01 17:22 86,016 nvmctray.dll 06-06-01 17:22 253,952 nvrsda.dll 06-06-01 17:22 2,859,008 nvmoblsr.dll 06-06-01 17:22 462,848 nvmccssr.dll 06-06-01 17:22 794,624 nvcplui.exe 06-06-01 17:22 270,336 nvrsru.dll 06-06-01 17:22 188,416 nvmccss.dll 06-06-01 17:22 1,011,712 nvcpluir.dll 06-06-01 17:22 45,056 nvmccsrs.dll 06-06-01 17:22 229,376 nvmccs.dll 06-06-01 17:22 1,466,368 nview.dll 06-06-01 17:22 581,632 nvhwvid.dll 06-06-01 17:22 2,916,352 nvgamesr.dll 06-06-01 17:22 16,960 nvdisp.nvu 06-06-01 17:22 5,652,480 nvdisps.dll 06-06-01 17:22 5,246,976 nvdispsr.dll 06-06-01 17:22 245,760 nvrscs.dll 06-06-01 17:22 327,680 nvrsar.dll 06-06-01 17:22 5,632,000 nvoglnt.dll 06-06-01 17:22 294,912 nvwrsda.dll 06-06-01 17:22 3,100,672 nvgames.dll 06-06-01 17:22 311,296 nvexpbar.dll 06-06-01 17:22 1,339,392 nvdspsch.exe 06-06-01 17:22 286,720 nvnt4cpl.dll Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 981D-0EB5 Verzeichnis von C:\DOKUME~1\Malaka\LOKALE~1\Temp 06-09-08 02:06 406 jusched.log 06-09-08 01:57 49,152 ~DF4D68.tmp 06-09-08 01:44 49,152 ~DF724C.tmp 06-09-01 11:16 247 1F1205F7.TMP Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 981D-0EB5 Verzeichnis von C:\WINDOWS 06-09-08 01:44 0 0.log 06-09-08 01:44 157 wiadebug.log 06-09-08 01:44 50 wiaservc.log 06-09-08 01:43 2,048 bootstat.dat 06-09-08 01:22 32,552 SchedLgU.Txt 06-09-08 01:12 321,144 ntbtlog.txt 06-09-07 18:17 116 NeroDigital.ini 06-09-04 23:30 3,778,236 {00000000-00000000-00000006-00001102-00000004-00531102}.CDF 06-09-04 23:30 3,778,236 {00000000-00000000-00000006-00001102-00000004-00531102}.BAK 06-09-03 22:18 54,156 QTFont.qfn 06-09-02 22:13 2,476,791 discwriter.log 06-09-02 22:04 0 OrangeBurn.log 06-08-31 00:47 442,374 DirectX.log 06-08-31 00:46 105,755 setupapi.log 06-08-30 17:06 201 setup.log 06-08-30 17:06 189 setuplog 06-08-30 16:49 1,409 QTFont.for 06-08-30 12:27 227 system.ini 06-08-30 12:27 487 win.ini 06-08-29 22:43 1,174 OEWABLog.txt 06-08-28 18:26 24,778 Xbox_360_CC_Driver.log 06-08-28 18:20 17,930 comsetup.log 06-08-28 18:20 53,473 iis6.log 06-08-28 18:20 9,178 ntdtcsetup.log 06-08-28 18:20 13,014 tsoc.log 06-08-28 18:20 1,374 imsins.log 06-08-28 18:20 1,626 tabletoc.log 06-08-28 18:20 1,177 msgsocm.log 06-08-28 18:20 18,590 ocgen.log 06-08-28 18:20 3,560 netfxocm.log 06-08-28 18:20 1,277 ocmsn.log 06-08-28 18:20 17,721 FaxSetup.log 06-08-28 18:20 11,734 msmqinst.log 06-08-28 18:13 2,002,967 setupapi.log.0.old 06-08-28 12:32 103 CTRec.INI 06-08-25 23:56 63,424 wmsetup.log 06-08-22 00:00 0 1.dat 06-08-19 22:59 2,440 DIFx.log 06-07-17 21:00 178,884 setupact.log 06-07-11 00:13 0 nsreg.dat 06-07-05 23:57 1,145 GTA-SA_Trn_Settings.ini 06-07-01 23:07 922 cdplayer.ini 06-06-20 19:16 230 musicmaker.INI 06-06-13 13:06 882 Sti_Trace.log 06-06-12 22:19 30,582 Windows Update.log 06-06-12 00:44 3,672 ModemLog_Nokia N70 USB #2.txt 06-06-09 12:52 86 ke.log 06-06-09 12:46 0 setuperr.log Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger Volumeseriennummer: 981D-0EB5 Verzeichnis von C:\ 06-09-08 02:12 0 sys.txt 06-09-08 02:12 7,700 system.txt 06-09-08 02:12 439 systemtemp.txt 06-09-08 02:10 104,863 system32.txt 06-09-08 01:56 53 biosinfo 06-09-08 01:43 38,862 ComboFix.txt 06-09-08 01:43 1,207,959,552 pagefile.sys 06-09-08 00:41 184 VundoFix.txt 06-09-08 00:40 8,052 hijackthis.log 06-08-30 12:27 194 boot.ini So das wars. Danke dir im voraus. MfG Theo |
|
|
||
Danke schon mal für deine Hilfe.
Habe deine Schritte durchgeführt.
Vundofix hat nichts gefunden.
Avenger hat einige Files nicht gefunden (siehe Log).
Und bei HiJack waren ebenfalls nicht alle Malware vorhanden.
Bitte schau dir die Logs noch mal an.... und geb mir weiteren Ratschlag.
Das Scannen mit Smitfraidix habe ich noch nicht durchgeführt ! ! !
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Batty2
Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Batty
Error: could not create zip file.
Error code: 0
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\eokuntle
*******************
Script file located at: \??\C:\WINDOWS\system32\mnltdwet.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Could not open file C:\Programme\Batty2\Batty2.dll for deletion
Deletion of file C:\Programme\Batty2\Batty2.dll failed!
Could not process line:
C:\Programme\Batty2\Batty2.dll
Status: 0xc000003a
File C:\WINDOWS\system32\BattyRun2.dll deleted successfully.
File C:\WINDOWS\system32\lmnnn.ini deleted successfully.
File C:\WINDOWS\system32\eicxemru.txt deleted successfully.
File C:\WINDOWS\system32\ixt0.dll_tobedeleted not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll_tobedeleted failed!
Could not process line:
C:\WINDOWS\system32\ixt0.dll_tobedeleted
Status: 0xc0000034
File C:\WINDOWS\system32\ismini.exe not found!
Deletion of file C:\WINDOWS\system32\ismini.exe failed!
Could not process line:
C:\WINDOWS\system32\ismini.exe
Status: 0xc0000034
File C:\WINDOWS\system32\lmnnn.bak1 deleted successfully.
File C:\WINDOWS\system32\nnnml.dll not found!
Deletion of file C:\WINDOWS\system32\nnnml.dll failed!
Could not process line:
C:\WINDOWS\system32\nnnml.dll
Status: 0xc0000034
File C:\WINDOWS\system32\urroxtl.dll_tobedeleted not found!
Deletion of file C:\WINDOWS\system32\urroxtl.dll_tobedeleted failed!
Could not process line:
C:\WINDOWS\system32\urroxtl.dll_tobedeleted
Status: 0xc0000034
File C:\WINDOWS\system32\ot.ico not found!
Deletion of file C:\WINDOWS\system32\ot.ico failed!
Could not process line:
C:\WINDOWS\system32\ot.ico
Status: 0xc0000034
File C:\WINDOWS\system32\winawg32.dll deleted successfully.
Folder C:\Programme\PSHope not found!
Deletion of folder C:\Programme\PSHope failed!
Could not process line:
C:\Programme\PSHope
Status: 0xc0000034
Folder C:\Programme\Batty2 not found!
Deletion of folder C:\Programme\Batty2 failed!
Could not process line:
C:\Programme\Batty2
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnml not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnml failed!
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winawg32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{994D478A-45D0-4DB4-AE27-738B1E346F99} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{994D478A-45D0-4DB4-AE27-738B1E346F99} failed!
Status: 0xc0000034
Completed script processing.
----------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 11:22:12, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\Trojaner\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [b6e17ae7.exe] C:\WINDOWS\system32\b6e17ae7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [b6e17ae7.exe] C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\b6e17ae7.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - (no file)
O20 - AppInit_DLLs: BattyRun2.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe