TR/Vundo.gen in ssqpn.dll

#16 Hallo SABINA!

Danke schon mal für deine Hilfe.
Habe deine Schritte durchgeführt.
Vundofix hat nichts gefunden.
Avenger hat einige Files nicht gefunden (siehe Log).
Und bei HiJack waren ebenfalls nicht alle Malware vorhanden.
Bitte schau dir die Logs noch mal an.... und geb mir weiteren Ratschlag.
Das Scannen mit Smitfraidix habe ich noch nicht durchgeführt ! ! !

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Batty2


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Batty


Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\eokuntle

*******************

Script file located at: \??\C:\WINDOWS\system32\mnltdwet.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Programme\Batty2\Batty2.dll for deletion
Deletion of file C:\Programme\Batty2\Batty2.dll failed!

Could not process line:
C:\Programme\Batty2\Batty2.dll
Status: 0xc000003a

File C:\WINDOWS\system32\BattyRun2.dll deleted successfully.
File C:\WINDOWS\system32\lmnnn.ini deleted successfully.
File C:\WINDOWS\system32\eicxemru.txt deleted successfully.


File C:\WINDOWS\system32\ixt0.dll_tobedeleted not found!
Deletion of file C:\WINDOWS\system32\ixt0.dll_tobedeleted failed!

Could not process line:
C:\WINDOWS\system32\ixt0.dll_tobedeleted
Status: 0xc0000034



File C:\WINDOWS\system32\ismini.exe not found!
Deletion of file C:\WINDOWS\system32\ismini.exe failed!

Could not process line:
C:\WINDOWS\system32\ismini.exe
Status: 0xc0000034

File C:\WINDOWS\system32\lmnnn.bak1 deleted successfully.


File C:\WINDOWS\system32\nnnml.dll not found!
Deletion of file C:\WINDOWS\system32\nnnml.dll failed!

Could not process line:
C:\WINDOWS\system32\nnnml.dll
Status: 0xc0000034



File C:\WINDOWS\system32\urroxtl.dll_tobedeleted not found!
Deletion of file C:\WINDOWS\system32\urroxtl.dll_tobedeleted failed!

Could not process line:
C:\WINDOWS\system32\urroxtl.dll_tobedeleted
Status: 0xc0000034



File C:\WINDOWS\system32\ot.ico not found!
Deletion of file C:\WINDOWS\system32\ot.ico failed!

Could not process line:
C:\WINDOWS\system32\ot.ico
Status: 0xc0000034

File C:\WINDOWS\system32\winawg32.dll deleted successfully.


Folder C:\Programme\PSHope not found!
Deletion of folder C:\Programme\PSHope failed!

Could not process line:
C:\Programme\PSHope
Status: 0xc0000034



Folder C:\Programme\Batty2 not found!
Deletion of folder C:\Programme\Batty2 failed!

Could not process line:
C:\Programme\Batty2
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnml not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnml failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winawg32 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{994D478A-45D0-4DB4-AE27-738B1E346F99} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{994D478A-45D0-4DB4-AE27-738B1E346F99} failed!
Status: 0xc0000034
Completed script processing.

----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11:22:12, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\Trojaner\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [b6e17ae7.exe] C:\WINDOWS\system32\b6e17ae7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [b6e17ae7.exe] C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\b6e17ae7.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - (no file)
O20 - AppInit_DLLs: BattyRun2.dll
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

#17 Skorpi

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe

O4 - HKLM\..\Run: [b6e17ae7.exe] C:\WINDOWS\system32\b6e17ae7.exe

O4 - HKCU\..\Run: [b6e17ae7.exe] C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\b6e17ae7.exe

O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - (no file)
O20 - AppInit_DLLs: BattyRun2.dll

PC neustarten

**
poste das neue Log vom HijackThis

**
scanne mit ewido (Online) und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Sabina
die dateien werde ihc ncoh posten wenn ich sie finde. aber nachdem ich jetzt gemacht habe was du gesagt hast, sind alle viren weg. es gibt zumindest nicht mehr die geringsten anzeichen dafür dass sie noch da sind. ist schonma nen gutes zeichen DANKE

#19 Danke Sabina, du bist echt ein Schatz, ein richtiger Web-Engel^^ *drück*
Möcht bloß mal wissen, warum jemand so ein Zeugs programmiert...was hat man davon, arme kleine Dummies zu ärgern?

Das Backup hatte ich gleich nach meinem Virenscan mit antivir entfernt.
Die andere Datei in Temp gibt es auch nicht mehr.

Ist es eigtl normal, dass man so viele Warnungen beim Scan angezeigt bekommt? Wenn ja, dann is ja alles ok -.~


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 6. September 2006 09:14

Es wird nach 494974 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Li2
Computername: PEGASUS

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 11.2.2006 15:51:11
AVSCAN.DLL : 7.0.0.42 57384 11.2.2006 15:51:11
LUKE.DLL : 7.0.0.42 118824 11.2.2006 15:51:12
LUKERES.DLL : 7.0.0.42 32808 11.2.2006 15:51:12
ANTIVIR0.VDF : 6.35.0.1 7371264 11.2.2006 15:51:11
ANTIVIR1.VDF : 6.35.1.122 1270784 11.2.2006 15:51:11
ANTIVIR2.VDF : 6.35.1.175 144896 11.2.2006 15:51:11
ANTIVIR3.VDF : 6.35.1.188 27648 11.2.2006 15:51:11
AVEWIN32.DLL : 7.1.1.11 1827328 11.2.2006 15:51:11
AVPREF.DLL : 7.0.0.1 53288 11.2.2006 15:51:11
AVREP.DLL : 6.35.1.124 774184 11.2.2006 15:51:11
AVRPBASE.DLL : 7.0.0.0 2162728 4.5.2006 16:19:47
AVPACK32.DLL : 7.1.0.1 335912 11.2.2006 15:51:11
AVREG.DLL : 6.31.0.90 27688 11.2.2006 15:51:11
NETNT.DLL : 6.32.0.0 6696 11.2.2006 15:51:12
NETNW.DLL : 6.32.0.0 9768 11.2.2006 15:51:12
RCIMAGE.DLL : 7.0.0.71 1642536 11.2.2006 15:51:12
RCTEXT.DLL : 7.0.0.75 77864 11.2.2006 15:51:12

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C,D,E
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Mittwoch, 6. September 2006 09:14


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 32 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 14 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\avenger\backup-Di 05.09.2006-14.28.51,65.zip
[0] Archivtyp: ZIP
--> avenger/ssqpn.dll------------------------------------->habe ich mit tuneup geschreddert
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Li2\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Li2\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Li2\Lokale Einstellungen\Temp\hsperfdata_Li2\2448
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd6941.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\ZLT025ca.TMP
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 6. September 2006 09:58
Benötigte Zeit: 44:27 min

Der Suchlauf wurde vollständig durchgeführt.

6095 Verzeichnisse wurden überprüft
217166 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1147 Archive wurden durchsucht
29 Warnungen
0 Hinweise

#20 Hi SABINA!

Also die HiJack Maleware Einträge die du aufgelistet hast, existieren nicht alle.
Es konnte lediglich

O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe

O4 - HKCU\..\Run: [b6e17ae7.exe] C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\b6e17ae7.exe

gefunden und gefixed werden.
Danach Neustart durchgeführt. Dann wieder HiJack Scan durchgeführt.
Hier der Scan VOR und NACH dem fixed check.

VORHER

Logfile of HijackThis v1.99.1
Scan saved at 21:13:22, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SPAMfighter\SFAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\Trojaner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [b6e17ae7.exe] C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\b6e17ae7.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



NACHHER

Logfile of HijackThis v1.99.1
Scan saved at 21:26:52, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Desktop\Trojaner\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



EWIDO REPORT

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Quarterserver
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@ads-205.quarterserver[1].txt
Risk: Medium

Name: TrackingCookie.Addcontrol
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@axa.addcontrol[2].txt
Risk: Medium

Name: TrackingCookie.Com
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@com[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.Oewabox
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@oewabox[1].txt
Risk: Medium

Name: TrackingCookie.Tfag
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@php.sales.tfag[2].txt
Risk: Medium

Name: TrackingCookie.Popularix
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@ppms.popularix[2].txt
Risk: Medium

Name: TrackingCookie.Targad
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@targad[1].txt
Risk: Medium

Name: TrackingCookie.Tfag
Path: C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Cookies\administrator@tfag[1].txt
Risk: Medium

Name: Adware.ToolBar888
Path: C:\Programme\ToolBar888
Risk: Medium

Name: Adware.ToolBar888
Path: C:\Programme\ToolBar888\Uninst.exe
Risk: Medium

#21 Skorpi

toolbar888_remove
http://virus-protect.org/artikel/spyware/toolbar888_remove.html

-------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}
HKEY_CURRENT_USER\Software\MyToolBar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKEY_CLASSES_ROOT\CLSID\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}
HKEY_CLASSES_ROOT\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}
HKEY_CLASSES_ROOT\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}
HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj
HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj.1

Files to delete:
C:\Programme\Toolbar888\ToolBar888.dll
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe

Folders to delete:
C:\Programme\ToolBar888

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#22 Hallo Sabina!

Kann mit dem Link von toolbar888_remove nichts anfangen, dort wird ein Trojaner von Antivir erläutert.... http://www.avira.com/de/threats/section/fulldetails/id_vir/2435/dr_softomate.q.1.html

Oder verstehe ich da was nicht ganz *Schulternzuck*

#23 der link ist nur als info gedacht,,, sind meine gesammelten Werke
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Was mache ich denn mit Tollbar_888 remove? Habe keine Beschreibung oder so... Oder brauche ich nur Avenger durchführen wie du geschrieben hast? Bin glaub ich schon a bissl irritiert.. von den ganzen Trojanern

#25 Skorpi

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}
HKEY_CURRENT_USER\Software\MyToolBar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A}
HKEY_CLASSES_ROOT\CLSID\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}
HKEY_CLASSES_ROOT\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}
HKEY_CLASSES_ROOT\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}
HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj
HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj.1

Files to delete:
C:\Programme\Toolbar888\ToolBar888.dll
C:\Programme\ToolBar888\MyToolBar.dll
C:\Programme\ToolBar888\Activate.exe
C:\Programme\ToolBar888\Uninst.exe

Folders to delete:
C:\Programme\ToolBar888

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#26 Hallo SABINA!

Avenger wurde ausgeführt. Mehrere Befehle konnten nicht ausgeführt werden - siehe Log.


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CURRENT_USER\Software\MyToolBar


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\CLSID\{CBCC61FA-0221-4CCC-B409-CEE865CACA3A}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\Interface\{C6F2214E-0B54-45A9-B90D-7DD4BA45ED0B}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\TypeLib\{569304BA-83ED-4CFF-AC26-BE3E482F7208}


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKEY_CLASSES_ROOT\mytoolbar.mytoolbarobj.1


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qfjqqdsd

*******************

Script file located at: \??\C:\tvawumtk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\Programme\Toolbar888\ToolBar888.dll for deletion
Deletion of file C:\Programme\Toolbar888\ToolBar888.dll failed!

Could not process line:
C:\Programme\Toolbar888\ToolBar888.dll
Status: 0xc000003a



Could not open file C:\Programme\ToolBar888\MyToolBar.dll for deletion
Deletion of file C:\Programme\ToolBar888\MyToolBar.dll failed!

Could not process line:
C:\Programme\ToolBar888\MyToolBar.dll
Status: 0xc000003a



Could not open file C:\Programme\ToolBar888\Activate.exe for deletion
Deletion of file C:\Programme\ToolBar888\Activate.exe failed!

Could not process line:
C:\Programme\ToolBar888\Activate.exe
Status: 0xc000003a



Could not open file C:\Programme\ToolBar888\Uninst.exe for deletion
Deletion of file C:\Programme\ToolBar888\Uninst.exe failed!

Could not process line:
C:\Programme\ToolBar888\Uninst.exe
Status: 0xc000003a



Folder C:\Programme\ToolBar888 not found!
Deletion of folder C:\Programme\ToolBar888 failed!

Could not process line:
C:\Programme\ToolBar888
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{569304ba-83ed-4cff-ac26-be3e482f7208} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CBCC61FA-0221-4ccc-B409-CEE865CACA3A} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#27 nun muesste wieder alles in Ordnung sein
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Ok.. super danke dir! AntiVir hat auch seitdem nicht mehr gemeckert
Was mache ich mit den ganzen installierten Programmen?
Kann ich die alle deinstallieren bzw. kannst du welche empfehlen, welche ich drauflassen bzw. andere installieren soll, um mehr vorzubeugen?
Halte gerne "Ordnung" auf dem PC und möchte überflüssige Programme halt löschen


Lieben Gruß, Skorpi

--> habe gerade noch mal den AntiVir komplett Scannen lassen... insgesamt wurden noch 10 Meldungen (Trojaner) aufgefunden, hier noch mal das Log.
Ist das i. O.?



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 7. September 2006 23:17

Es wird nach 495576 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: DIDI-P03JA62WUJ

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 09.07.2006 13:17:41
AVSCAN.DLL : 7.0.0.42 57384 09.07.2006 13:17:41
LUKE.DLL : 7.0.0.42 118824 09.07.2006 13:17:43
LUKERES.DLL : 7.0.0.42 32808 09.07.2006 13:17:43
ANTIVIR0.VDF : 6.35.0.1 7371264 09.07.2006 13:17:41
ANTIVIR1.VDF : 6.35.1.122 1270784 09.07.2006 13:17:41
ANTIVIR2.VDF : 6.35.1.175 144896 09.07.2006 13:17:41
ANTIVIR3.VDF : 6.35.1.199 43008 09.07.2006 13:17:41
AVEWIN32.DLL : 7.1.1.14 1835520 09.07.2006 13:17:41
AVPREF.DLL : 7.0.0.1 53288 09.07.2006 13:17:41
AVREP.DLL : 6.35.1.191 794664 09.07.2006 13:17:41
AVRPBASE.DLL : 7.0.0.0 2162728 09.07.2006 13:17:41
AVPACK32.DLL : 7.1.0.1 335912 09.07.2006 13:17:41
AVREG.DLL : 6.31.0.90 27688 09.07.2006 13:17:41
NETNT.DLL : 6.32.0.0 6696 09.07.2006 13:17:45
NETNW.DLL : 6.32.0.0 9768 09.07.2006 13:17:45
RCIMAGE.DLL : 7.0.0.71 1642536 09.07.2006 13:17:49
RCTEXT.DLL : 7.0.0.75 77864 09.07.2006 13:17:49

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Donnerstag, 7. September 2006 23:17


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 28 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 21 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator.DIDI-P03JA62WUJ\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5ZZF1X0E\l11[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.adt.2
[INFO] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0063967.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.aip
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065004.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.adt.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45308f97.qua' verschoben!
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065007.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065009.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aar
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065015.dll
[FUND] Ist das Trojanische Pferd TR/PCK.Klone.G.42
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065022.exe
[FUND] Ist das Trojanische Pferd TR/Starter.V.1
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065023.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aar
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2A50411F-BDFB-44B9-8409-E4E5094CDFE0}\RP187\A0065029.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aar
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\Temp\win22.tmp.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Zlob.adt.2
[INFO] Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 7. September 2006 23:53
Benötigte Zeit: 35:19 min

Der Suchlauf wurde vollständig durchgeführt.

2682 Verzeichnisse wurden überprüft
94975 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
9 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
772 Archive wurden durchsucht
24 Warnungen
0 Hinweise

#29 0.
loesche alle:
C:\WINDOWS\Temp\win....tmp

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann wieder aktivieren

2.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

3.
die proggies packe in einen Ordner "Sicherheit" und heb sie auf...man weiss ja nie.......
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hi, ich habe das selbe problem mit dem Vundo, nur dass es bei mir in der Datei ssqpp.dll ist. Kannst du mir da helfen? Die logs habe ich auch schon eingefügt.

Logs:

________________________hjt___________________________________


Logfile of HijackThis v1.99.1
Scan saved at 00:10:58, on 08.09.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sw24.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RunDLL32.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Malaka\Desktop\hjt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O1 - Hosts: 65.19.154.99 www.halifax-online.co.uk
O1 - Hosts: 65.19.154.99 ibank.barclays.co.uk
O1 - Hosts: 65.19.154.99 online.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 online-business.lloydstsb.co.uk
O1 - Hosts: 65.19.154.99 www.ukpersonal.hsbc.co.uk
O1 - Hosts: 65.19.154.99 banesnet.banesto.es
O1 - Hosts: 65.19.154.99 extranet.banesto.es
O1 - Hosts: 65.19.154.99 ebanking.bccbrescia.it
O1 - Hosts: 65.19.154.99 www.bankofscotlandhalifax-online.co.uk
O1 - Hosts: 65.19.154.99 oi.cajamadrid.es
O1 - Hosts: 65.19.154.99 bancae.caixapenedes.com
O1 - Hosts: 65.19.154.99 banking.postbank.de
O1 - Hosts: 65.19.154.99 meine.deutsche-bank.de
O1 - Hosts: 65.19.154.99 myonlineaccounts2.abbeynational.co.uk
O1 - Hosts: 65.19.154.99 ibank.cahoot.com
O1 - Hosts: 65.19.154.99 webbank.openplan.co.uk
O1 - Hosts: 65.19.154.99 bancopostaonline.poste.it
O1 - Hosts: 65.19.154.99 mybank.bybank.it
O1 - Hosts: 65.19.154.99 ibank.internationalbanking.barclays.com
O1 - Hosts: 65.19.154.99 welcome7.co-operativebank.co.uk
O1 - Hosts: 65.19.154.99 welcome11.co-operativebankonline.co.uk
O2 - BHO: ATLDistrib Object - {2353FCBC-012D-487B-8BF3-865C0929FBEB} - C:\WINDOWS\System32\ssqpp.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\System32\ddcca.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [sys_up1] C:\Programme\Common Files\svchostsys\svchostsys.exe
O4 - HKCU\..\Run: [BaitOnce] C:\DOKUME~1\Malaka\ANWEND~1\LOUD2J~1\Barb Eggs.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &MyToolBar Search - res://C:\Programme\ToolBar888\MyToolBar.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{592C9E7E-8041-4F1A-BF33-D9DE7AB1FB56}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll
O20 - Winlogon Notify: DateTime - C:\WINDOWS\system32\guard.tmp (file missing)
O20 - Winlogon Notify: ddcca - C:\WINDOWS\SYSTEM32\ddcca.dll
O20 - Winlogon Notify: ssqpp - C:\WINDOWS\System32\ssqpp.dll
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\srimeng.dll (file missing)
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\azam0171e.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UGFwcGFz\command.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: DcomHelper Service (DcomHelper) - Creative Technology Ltd - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Service Hosts (ServiceHost) - Unknown owner - C:\WINDOWS\shost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



__________________________ComboFix________________________________

Malaka - 06-09-08 1:38:00.00
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Malaka\Desktop

Microsoft Windows XP [Version 5.1.2600]

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{2E6348B0-F872-4789-982A-57EE22DD9D65}\InprocServer32]
@="C:\\WINDOWS\\system32\\mjw3prt.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{BC9BF78B-4F04-48E1-8095-DB181C1791BD}\InprocServer32]
@="C:\\WINDOWS\\system32\\uerdpa.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0B9B9DD2-072C-4833-9E2E-5D19FFDFE516}\InprocServer32]
@="C:\\WINDOWS\\system32\\wuhcon.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ED2E019C-5CEE-42EA-AD6D-0865E066206F}\InprocServer32]
@="C:\\WINDOWS\\system32\\uaer32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{0593AE4C-6231-4A6D-86CD-6BED42680A27}\InprocServer32]
@="C:\\WINDOWS\\system32\\nwlanui2.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{791E85DE-5D85-406F-B1EE-C31899CFC7EF}\InprocServer32]
@="C:\\WINDOWS\\system32\\xpnroll.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{7488E97B-0CDC-481F-9C39-249A78CAE93D}\InprocServer32]
@="C:\\WINDOWS\\system32\\dywsock.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{73B604C5-16E7-45C7-AE19-112B6009F456}\InprocServer32]
@="C:\\WINDOWS\\system32\\nlwrsda.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{98C4348D-8FBC-4F9F-AD42-FD6BB4FC19ED}\InprocServer32]
@="C:\\WINDOWS\\system32\\LhgitCheckControl.DLL"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{C46A39E2-B3A2-4D46-B02B-1F8A3CAF624B}\InprocServer32]
@="C:\\WINDOWS\\system32\\nlrsit.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9A192FCB-5C70-464D-B9F3-D5E06A4200FB}\InprocServer32]
@="C:\\WINDOWS\\system32\\ogbcp32r.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{FE72FDC1-0CB7-41CA-AC2B-B69AF8819D82}\InprocServer32]
@="C:\\WINDOWS\\system32\\CEMedEng.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{8C857193-9B69-4432-BEC7-885E0927D5D7}\InprocServer32]
@="C:\\WINDOWS\\system32\\iBsrad.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{56E9602B-BD4E-4CD3-84DB-064E7329AC44}\InprocServer32]
@="C:\\WINDOWS\\system32\\ukrsdpia.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CB4304C9-42E2-4B1B-AB61-43062AC5FFB5}\InprocServer32]
@="C:\\WINDOWS\\system32\\dnvenum.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CB96F0CC-0273-4D8E-AAC4-930E47EBB6B6}\InprocServer32]
@="C:\\WINDOWS\\system32\\oktext32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{EE0D4AAB-2AB9-4F52-83E1-A5535A5F23FB}\InprocServer32]
@="C:\\WINDOWS\\system32\\ijitpki.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{42E33826-8E83-462F-92BA-98399AFD64FF}\InprocServer32]
@="C:\\WINDOWS\\system32\\czyptsvc.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{CD0AFCF1-2C37-4601-BDCA-DC2276AA4C86}\InprocServer32]
@="C:\\WINDOWS\\system32\\mrvcp50.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{30F8FE4B-3C0F-4562-B32E-712FE9A9121C}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{ED9B72CA-4314-441C-8D6F-5BDCDB28E2FD}\InprocServer32]
@="C:\\WINDOWS\\system32\\nftui1.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{9F948C67-808B-4BBD-A38E-8447F3DD3E51}\InprocServer32]
@="C:\\WINDOWS\\system32\\osesvr32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{3BCEE8B3-8D77-4CA0-9ED6-9545CB8A6E4B}\InprocServer32]
@="C:\\WINDOWS\\system32\\cumpobj.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{D2D72F4D-2A47-4459-8739-D1FAA4498971}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{842F247D-E294-4648-9522-5D72F2ABF5B2}\InprocServer32]
@="C:\\WINDOWS\\system32\\rGsapi32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{63A7441E-0A94-4464-8EC1-E34461599592}\InprocServer32]
@="C:\\WINDOWS\\system32\\cnmsnap.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5655F422-AF5D-496C-87DB-8A40403D2D6F}\InprocServer32]
@="C:\\WINDOWS\\system32\\fusrch.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{5B4A10B0-6751-409C-B58B-410F553FCB38}\InprocServer32]
@="C:\\WINDOWS\\system32\\mavcp50.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{88FA59E9-ED10-4E86-A185-8DBC4B034A2B}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}]
@=""
"IDEx"="AD"

[HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{F3E29267-E9D5-4CDE-8B61-8D204E5DAD93}\InprocServer32]
@="C:\\WINDOWS\\system32\\masip32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{4F64887B-6E98-4D84-8F5C-2B87078DE0FC}\InprocServer32]
@="C:\\WINDOWS\\system32\\sadpapi.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\CLSID\{B518326B-CE01-4419-953A-25F6403DEDE5}\InprocServer32]
@="C:\\WINDOWS\\system32\\iLssdo.dll"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32\f0j20a1oed.dll
C:\WINDOWS\system32\mgtext40.dll
C:\WINDOWS\system32\mpisam11.dll
C:\WINDOWS\system32\MWSCP.dll
C:\WINDOWS\system32\sacur32.dll
C:\WINDOWS\system32\sicsccp.dll
C:\WINDOWS\system32\smftpub.dll




((((((((((((((((((((((((((((((((((((((((((( E-Give / Ssk's Log )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Sskdmns.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\msiexec.dll
C:\WINDOWS\system32\winsys.exe
C:\WINDOWS\uninstall_nmon.vbs
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Gemeinsame Dateien\inetget
C:\Programme\Deskbar
C:\Programme\Inetget2
C:\Programme\Gemeinsame Dateien\{981D0EB5-07DA-1031-0909-050610050031}
C:\Programme\Gemeinsame Dateien\inetget

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Malaka\Anwendungsdaten\SMBOLS~1
C:\QooBox\Purity\Dokumente und Einstellungen\Malaka\Anwendungsdaten\SMBOLS~1\c?rss.exe
C:\QooBox\Purity\WINDOWS\YSTEM3~1
C:\QooBox\Purity\WINDOWS\YSTEM3~1\YSTEM3~1


((((((((((((((((((((((((((((((( Files Created from 2006-08-08 to 2006-09-08 ))))))))))))))))))))))))))))))))))


2006-09-08 00:07 218,112 --a------ C:\t.exe
2006-08-30 17:09 86,016 -ra------ C:\WINDOWS\CtDrvIns.exe
2006-08-30 17:09 49,152 -ra------ C:\WINDOWS\system32\P0630Hwx.dll
2006-08-30 17:09 36,864 -ra------ C:\WINDOWS\system32\P0630Pin.dll
2006-08-30 17:09 36,864 -ra------ C:\WINDOWS\system32\CtCamMgr.dll
2006-08-30 17:09 32,768 -ra------ C:\WINDOWS\system32\P0630Sti.dll
2006-08-30 17:09 20,480 -ra------ C:\WINDOWS\system32\P0630Srv.exe
2006-08-30 17:09 20,480 -ra------ C:\WINDOWS\P0630Cfg.exe
2006-08-30 17:09 126,976 -ra------ C:\WINDOWS\system32\P0630Vfw.dll
2006-08-30 16:55 24,576 -ra------ C:\WINDOWS\system32\P0630Aor.dll
2006-08-30 16:52 24,576 --------- C:\WINDOWS\system32\CTWEBFUN.DLL
2006-08-30 01:08 18,359 --a------ C:\WINDOWS\system32\Ntaccess.sys
2006-08-28 22:16 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2006-08-20 22:23 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-08-19 22:30 61,952 --a------ C:\WINDOWS\system32\den3cfc8.dll
2006-08-19 22:30 1,167 --a------ C:\WINDOWS\system32\den3cfc8.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-09-08 01:41 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-08 01:15 1193067 ---hs---- C:\WINDOWS\system32\ppqss.bak2
2006-09-07 23:18 -------- d-------- C:\Programme\MSN Messenger
2006-09-07 23:15 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-07 01:13 1187730 ---hs---- C:\WINDOWS\system32\ppqss.bak1
2006-09-04 23:28 -------- d-------- C:\Programme\Opera
2006-09-02 01:26 1143689 ---hs---- C:\WINDOWS\system32\ppqss.ini2
2006-08-30 17:05 -------- d-------- C:\Programme\Creative
2006-08-30 16:59 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Creative
2006-08-30 16:54 -------- d-------- C:\Programme\SightSpeed
2006-08-24 14:47 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\teamspeak2
2006-08-23 23:38 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-08-22 11:27 -------- d-------- C:\Programme\Save
2006-08-20 22:32 -------- d-------- C:\Programme\Gemeinsame Dateien\wwqw
2006-08-20 22:23 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-08-20 17:05 -------- d-------- C:\Programme\MyGlobalSearch
2006-08-19 22:30 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\InstallShield
2006-08-18 16:14 -------- d-------- C:\Programme\MessengerPlus! 3
2006-08-18 16:07 -------- d-------- C:\Programme\Loud2Junk
2006-08-18 16:07 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Loud2Junk
2006-08-18 16:07 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\BLAH COAL
2006-08-18 16:05 -------- d-------- C:\Programme\Adverts
2006-08-17 22:57 -------- d-------- C:\Dokumente und Einstellungen\Malaka\Anwendungsdaten\Azureus
2006-07-10 00:51 -------- d-------- C:\Programme\thriXXX
2006-06-26 11:46 602 --a------ C:\Programme\INSTALL.LOG
2006-06-26 01:16 2 --a------ C:\WINDOWS\system32\wintcc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SW20"="C:\\WINDOWS\\System32\\sw20.exe"
"SW24"="C:\\WINDOWS\\System32\\sw24.exe"
"Disc Detector"="C:\\Programme\\Creative\\ShareDLL\\CtNotify.exe"
"CTStartup"="C:\\Programme\\Creative\\Splash Screen\\CTEaxSpl.EXE /run"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"itype"="\"C:\\Programme\\Microsoft IntelliType Pro\\itype.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"BearShare"="\"D:\\Programme\\BearShare\\BearShare.exe\" /pause"
"Zone Labs Client"="\"D:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"BaitOnce"="C:\\DOKUME~1\\Malaka\\ANWEND~1\\LOUD2J~1\\Barb Eggs.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce\CTStartup]
"CTStartup"="\"C:\\Programme\\Creative\\Splash Screen\\CTEaxSpl.EXE\" /play"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:5f,00,00,00
@=""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"wwqw"="C:\\PROGRA~1\\GEMEIN~1\\wwqw\\wwqwm.exe"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"wwqw"="C:\\PROGRA~1\\GEMEIN~1\\wwqw\\wwqwm.exe"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CoreCenter.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\CoreCenter.lnk"
"backup"="C:\\WINDOWS\\pss\\CoreCenter.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MSI\\CORECE~1\\CORECE~1.EXE "
"item"="CoreCenter"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DigiCell.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\DigiCell.lnk"
"backup"="C:\\WINDOWS\\pss\\DigiCell.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MSI\\DigiCell\\DigiCell.exe "
"item"="DigiCell"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech SetPoint.lnk"
"backup"="C:\\WINDOWS\\pss\\Logitech SetPoint.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Logitech\\SetPoint\\KEM.exe "
"item"="Logitech SetPoint"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AltnetPointsManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="points manager"
"hkey"="HKLM"
"command"="c:\\program files\\altnet\\points manager\\points manager.exe -s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BaitOnce]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Barb Eggs"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\Malaka\\ANWEND~1\\LOUD2J~1\\Barb Eggs.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"command"="\"D:\\Programme\\BearShare\\BearShare.exe\" /pause"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Creative WebCam Tray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CamTray"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Creative\\Shared Files\\CamTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dfndrff_12"
"hkey"="HKLM"
"command"="C:\\\\dfndrff_12.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\den3cfc8]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RUNDLL32"
"hkey"="HKLM"
"command"="RUNDLL32.EXE w0071cfb.dll,n 0033cfc50000000a0071cfb"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\For Peak About Nurb]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Cash Type"
"hkey"="HKLM"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\CdromHeckForPeak\\Cash Type.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IpWins]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ipwins"
"hkey"="HKLM"
"command"="C:\\Programme\\ipwins\\ipwins.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Jet Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ADGJDet"
"hkey"="HKLM"
"command"="C:\\Programme\\Creative\\SBAudigy\\PROGRAM\\ADGJDet.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KAZAA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kazaa"
"hkey"="HKLM"
"command"="D:\\Programme\\Kazaa\\kazaa.exe /SYSTRAY"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\keyboard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kybrdff_12"
"hkey"="HKLM"
"command"="C:\\\\kybrdff_12.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LanguageShortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Language"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LiveMonitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LMonitor"
"hkey"="HKLM"
"command"="C:\\Programme\\MSI\\Live Update 3\\LMonitor.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Logitech Hardware Abstraction Layer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KHALMNPR"
"hkey"="HKLM"
"command"="KHALMNPR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSNS PLUS XP2]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winpad"
"hkey"="HKLM"
"command"="winpad.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\newname]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwnmff_11"
"hkey"="HKLM"
"command"="C:\\\\nwnmff_11.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\outlook]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="outlook"
"hkey"="HKLM"
"command"="C:\\Programme\\outlook\\outlook.exe /auto"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\P2P Networking]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="P2P Networking"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.exe /AUTOSTART"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PCSuiteTrayApplication]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LAUNCH~1"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -onlytray"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\PcSync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PcSync2"
"hkey"="HKCU"
"command"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Rsrm]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dvdplay"
"hkey"="HKCU"
"command"="\"C:\\WINDOWS\\YSTEM3~1\\dvdplay.exe\" -vt yazr"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SemanticInsight]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SemanticInsight"
"hkey"="HKLM"
"command"="C:\\Programme\\RXToolBar\\Semantic Insight\\SemanticInsight.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Services]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="tt38"
"hkey"="HKLM"
"command"="C:\\tt38.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="\"D:\\Spiele\\Steam\\Steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\STYLEXP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="StyleXP"
"hkey"="HKCU"
"command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\tbon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="tbon"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\TBONBin\\tbon.exe /r"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TClock.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="tclock_install"
"hkey"="HKCU"
"command"="C:\\Programme\\TClock\\tclock_install.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Tqtc]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="c?rss"
"hkey"="HKCU"
"command"="C:\\Dokumente und Einstellungen\\Malaka\\Anwendungsdaten\\s?mbols\\c?rss.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\UpdReg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Updreg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\Updreg.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WhenUSave]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Save"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Save\\Save.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Windows ASN Services]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hxw"
"hkey"="HKLM"
"command"="hxw.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\winsysban]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winsysban3"
"hkey"="HKLM"
"command"="C:\\windows\\winsysban3.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\wwqw]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wwqwm"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\GEMEIN~1\\wwqw\\wwqwm.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Zone Labs Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zlclient"
"hkey"="HKLM"
"command"="\"D:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcca
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpp


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AFC4F1BC91CB62E4.job

Completion time: 06-09-08 1:43:23.01
ComboFix.txt


_______________________datfindbat_________________________________

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 981D-0EB5

Verzeichnis von C:\WINDOWS\system32

06-09-08 02:10 1,193,512 ppqss.ini
06-09-08 01:57 54,107 vsconfig.xml
06-09-08 01:56 63,062 nvapps.xml
06-09-08 01:42 28,056 BMXBkpCtrlState-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx
06-09-08 01:42 28,056 BMXCtrlState-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx
06-09-08 01:42 24 DVCStateBkp-{00000000-00000000-00000006-00001102-00000004-00531102}.dat
06-09-08 01:42 24 DVCState-{00000000-00000000-00000006-00001102-00000004-00531102}.dat
06-09-08 01:42 1,072 settings.sfm
06-09-08 01:42 1,072 settingsbkup.sfm
06-09-08 01:42 20,160 BMXStateBkp-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx
06-09-08 01:42 20,160 BMXState-{00000000-00000000-00000006-00001102-00000004-00531102}.rfx
06-09-08 01:15 1,193,067 ppqss.bak2
06-09-07 22:37 4,212 zllictbl.dat
06-09-07 01:13 1,187,730 ppqss.bak1
06-09-05 02:13 6,516 BMXCtrlState-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx
06-09-05 02:13 10,432 BMXState-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx
06-09-05 02:13 6,516 BMXBkpCtrlState-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx
06-09-05 02:13 10,432 BMXStateBkp-{00000000-00000000-00000006-00001102-00000004-00401102}.rfx
06-09-02 01:26 1,143,689 ppqss.ini2
06-08-24 13:00 2,206 wpa.dbl
06-08-23 23:38 42,920 vsutil_loc0407.dll
06-08-23 23:38 392,824 vsdatant.sys
06-08-23 23:38 83,960 zlcomm.dll
06-08-23 23:38 71,672 zlcommdb.dll
06-08-23 23:38 59,384 vswmi.dll
06-08-23 23:38 100,344 vsxml.dll
06-08-23 23:38 440,312 vsutil.dll
06-08-23 23:38 268,280 vspubapi.dll
06-08-23 23:38 71,672 vsregexp.dll
06-08-23 23:38 104,440 vsmonapi.dll
06-08-23 23:38 157,688 vsinit.dll
06-08-23 23:37 83,960 vsdata.dll
06-08-20 22:16 1,167 den3cfc8.sys
06-08-19 22:30 61,952 den3cfc8.dll
06-06-26 01:16 2 wintcc.exe
06-06-20 23:32 796,584 libeay32_0.9.6l.dll
06-06-11 22:10 143 mcrh.tmp
06-06-06 16:51 139,264 rsm.dll
06-06-02 11:04 57,384 avsda.dll
06-06-01 19:09 208,896 NVUNINST.EXE
06-06-01 19:09 208,896 nvudisp.exe
06-06-01 19:09 208,896 nvunrm.exe
06-06-01 17:22 73,728 nvtuicpl.cpl
06-06-01 17:22 155,715 nvsvc32.exe
06-06-01 17:22 2,924,544 nvvitvs.dll
06-06-01 17:22 2,977,792 nvvitvsr.dll
06-06-01 17:22 81,920 nvwddi.dll
06-06-01 17:22 1,662,976 nvwdmcpl.dll
06-06-01 17:22 1,019,904 nvwimg.dll
06-06-01 17:22 282,624 nvwrsar.dll
06-06-01 17:22 266,240 nvrsptb.dll
06-06-01 17:22 286,720 nvwrscs.dll
06-06-01 17:22 425,984 keystone.exe
06-06-01 17:22 311,296 nvwrsde.dll
06-06-01 17:22 335,872 nvwrsel.dll
06-06-01 17:22 286,720 nvwrseng.dll
06-06-01 17:22 335,872 nvwrses.dll
06-06-01 17:22 327,680 nvwrsesm.dll
06-06-01 17:22 303,104 nvwrsfi.dll
06-06-01 17:22 327,680 nvwrsfr.dll
06-06-01 17:22 258,048 nvrspl.dll
06-06-01 17:22 253,952 nvrsno.dll
06-06-01 17:22 274,432 nvrsnl.dll
06-06-01 17:22 225,280 nvrszhc.dll
06-06-01 17:22 262,144 nvrsko.dll
06-06-01 17:22 266,240 nvrsja.dll
06-06-01 17:22 282,624 nvrsit.dll
06-06-01 17:22 122,880 nvrszht.dll
06-06-01 17:22 258,048 nvrstr.dll
06-06-01 17:22 253,952 nvrssv.dll
06-06-01 17:22 258,048 nvrshu.dll
06-06-01 17:22 258,048 nvrssl.dll
06-06-01 17:22 327,680 nvrshe.dll
06-06-01 17:22 278,528 nvwrshe.dll
06-06-01 17:22 315,392 nvwrshu.dll
06-06-01 17:22 323,584 nvwrsit.dll
06-06-01 17:22 212,992 nvwrsja.dll
06-06-01 17:22 196,608 nvwrsko.dll
06-06-01 17:22 466,944 nvshell.dll
06-06-01 17:22 319,488 nvwrsnl.dll
06-06-01 17:22 299,008 nvwrsno.dll
06-06-01 17:22 294,912 nvwrspl.dll
06-06-01 17:22 323,584 nvwrspt.dll
06-06-01 17:22 319,488 nvwrsptb.dll
06-06-01 17:22 315,392 nvwrsru.dll
06-06-01 17:22 299,008 nvwrssk.dll
06-06-01 17:22 303,104 nvwrssl.dll
06-06-01 17:22 294,912 nvwrssv.dll
06-06-01 17:22 303,104 nvwrstr.dll
06-06-01 17:22 163,840 nvwrszhc.dll
06-06-01 17:22 4,529,408 nv4_disp.dll
06-06-01 17:22 196,608 nvapi.dll
06-06-01 17:22 442,368 nvappbar.exe
06-06-01 17:22 282,624 nvrsfr.dll
06-06-01 17:22 249,856 nvrsfi.dll
06-06-01 17:22 274,432 nvrsesm.dll
06-06-01 17:22 258,048 nvrssk.dll
06-06-01 17:22 274,432 nvrspt.dll
06-06-01 17:22 282,624 nvrses.dll
06-06-01 17:22 245,760 nvrseng.dll
06-06-01 17:22 282,624 nvrsel.dll
06-06-01 17:22 278,528 nvrsde.dll
06-06-01 17:22 35,840 nvcod.dll
06-06-01 17:22 35,840 nvcodins.dll
06-06-01 17:22 167,936 nvwrszht.dll
06-06-01 17:22 1,257,472 nvwss.dll
06-06-01 17:22 147,456 nvcolor.exe
06-06-01 17:22 1,740,800 nvwssr.dll
06-06-01 17:22 1,519,616 nwiz.exe
06-06-01 17:22 888,832 nvmobls.dll
06-06-01 17:22 69,632 nvcpl.cpl
06-06-01 17:22 7,618,560 nvcpl.dll
06-06-01 17:22 86,016 nvmctray.dll
06-06-01 17:22 253,952 nvrsda.dll
06-06-01 17:22 2,859,008 nvmoblsr.dll
06-06-01 17:22 462,848 nvmccssr.dll
06-06-01 17:22 794,624 nvcplui.exe
06-06-01 17:22 270,336 nvrsru.dll
06-06-01 17:22 188,416 nvmccss.dll
06-06-01 17:22 1,011,712 nvcpluir.dll
06-06-01 17:22 45,056 nvmccsrs.dll
06-06-01 17:22 229,376 nvmccs.dll
06-06-01 17:22 1,466,368 nview.dll
06-06-01 17:22 581,632 nvhwvid.dll
06-06-01 17:22 2,916,352 nvgamesr.dll
06-06-01 17:22 16,960 nvdisp.nvu
06-06-01 17:22 5,652,480 nvdisps.dll
06-06-01 17:22 5,246,976 nvdispsr.dll
06-06-01 17:22 245,760 nvrscs.dll
06-06-01 17:22 327,680 nvrsar.dll
06-06-01 17:22 5,632,000 nvoglnt.dll
06-06-01 17:22 294,912 nvwrsda.dll
06-06-01 17:22 3,100,672 nvgames.dll
06-06-01 17:22 311,296 nvexpbar.dll
06-06-01 17:22 1,339,392 nvdspsch.exe
06-06-01 17:22 286,720 nvnt4cpl.dll



Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 981D-0EB5

Verzeichnis von C:\DOKUME~1\Malaka\LOKALE~1\Temp

06-09-08 02:06 406 jusched.log
06-09-08 01:57 49,152 ~DF4D68.tmp
06-09-08 01:44 49,152 ~DF724C.tmp
06-09-01 11:16 247 1F1205F7.TMP




Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 981D-0EB5

Verzeichnis von C:\WINDOWS

06-09-08 01:44 0 0.log
06-09-08 01:44 157 wiadebug.log
06-09-08 01:44 50 wiaservc.log
06-09-08 01:43 2,048 bootstat.dat
06-09-08 01:22 32,552 SchedLgU.Txt
06-09-08 01:12 321,144 ntbtlog.txt
06-09-07 18:17 116 NeroDigital.ini
06-09-04 23:30 3,778,236 {00000000-00000000-00000006-00001102-00000004-00531102}.CDF
06-09-04 23:30 3,778,236 {00000000-00000000-00000006-00001102-00000004-00531102}.BAK
06-09-03 22:18 54,156 QTFont.qfn
06-09-02 22:13 2,476,791 discwriter.log
06-09-02 22:04 0 OrangeBurn.log
06-08-31 00:47 442,374 DirectX.log
06-08-31 00:46 105,755 setupapi.log
06-08-30 17:06 201 setup.log
06-08-30 17:06 189 setuplog
06-08-30 16:49 1,409 QTFont.for
06-08-30 12:27 227 system.ini
06-08-30 12:27 487 win.ini
06-08-29 22:43 1,174 OEWABLog.txt
06-08-28 18:26 24,778 Xbox_360_CC_Driver.log
06-08-28 18:20 17,930 comsetup.log
06-08-28 18:20 53,473 iis6.log
06-08-28 18:20 9,178 ntdtcsetup.log
06-08-28 18:20 13,014 tsoc.log
06-08-28 18:20 1,374 imsins.log
06-08-28 18:20 1,626 tabletoc.log
06-08-28 18:20 1,177 msgsocm.log
06-08-28 18:20 18,590 ocgen.log
06-08-28 18:20 3,560 netfxocm.log
06-08-28 18:20 1,277 ocmsn.log
06-08-28 18:20 17,721 FaxSetup.log
06-08-28 18:20 11,734 msmqinst.log
06-08-28 18:13 2,002,967 setupapi.log.0.old
06-08-28 12:32 103 CTRec.INI
06-08-25 23:56 63,424 wmsetup.log
06-08-22 00:00 0 1.dat
06-08-19 22:59 2,440 DIFx.log
06-07-17 21:00 178,884 setupact.log
06-07-11 00:13 0 nsreg.dat
06-07-05 23:57 1,145 GTA-SA_Trn_Settings.ini
06-07-01 23:07 922 cdplayer.ini
06-06-20 19:16 230 musicmaker.INI
06-06-13 13:06 882 Sti_Trace.log
06-06-12 22:19 30,582 Windows Update.log
06-06-12 00:44 3,672 ModemLog_Nokia N70 USB #2.txt
06-06-09 12:52 86 ke.log
06-06-09 12:46 0 setuperr.log




Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Volumeseriennummer: 981D-0EB5

Verzeichnis von C:\

06-09-08 02:12 0 sys.txt
06-09-08 02:12 7,700 system.txt
06-09-08 02:12 439 systemtemp.txt
06-09-08 02:10 104,863 system32.txt
06-09-08 01:56 53 biosinfo
06-09-08 01:43 38,862 ComboFix.txt
06-09-08 01:43 1,207,959,552 pagefile.sys
06-09-08 00:41 184 VundoFix.txt
06-09-08 00:40 8,052 hijackthis.log
06-08-30 12:27 194 boot.ini








So das wars. Danke dir im voraus.

MfG

Theo