Home » Spyware & Browser Hijacker Support Forum » TR/Proxy.Agent.DL.2 / Trojan-Downloader.Win32.Smal » Themenansicht
TR/Proxy.Agent.DL.2 / Trojan-Downloader.Win32.Smal |
||
|---|---|---|
| #0
| ||
|
10.09.2006, 22:36
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
10.09.2006, 22:42
Ehrenmitglied
 Beiträge: 29434 |
#2
ChristophR
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint ** Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k ** öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://daosearch.com/search.php----------------------------------------------------------------- + noch mal das log von combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.09.2006, 22:59
...neu hier
Themenstarter Beiträge: 6 |
#3
Ich hab ein problem bei avenger. Wenn ich Input script manually (anhaken) mache wo geb ich da den text ein?
Ah die lupe ok  Dieser Beitrag wurde am 10.09.2006 um 23:03 Uhr von ChristophR editiert.
|
|
|
|
|
|
|
10.09.2006, 23:06
Ehrenmitglied
Beiträge: 29434 |
#4
wenn du anklickst: Input script manually
und dann rechts diese Lupe - oeffnet sich ein Fenster, wo du es reinkopierst Beispiel:  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.09.2006, 23:18
...neu hier
Themenstarter Beiträge: 6 |
#5
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\offgtlod ******************* Script file located at: \??\C:\Program Files\yeparyxb.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\yguaotf.dat deleted successfully. File C:\WINDOWS\bpfdat.dat deleted successfully. File C:\WINDOWS\hausaufgaben[hun-10476,1].exe deleted successfully. File C:\WINDOWS\system32\desktop.dll deleted successfully. File C:\WINDOWS\system32\desktop.dat deleted successfully. File C:\WINDOWS\System32\desktop.exe not found! Deletion of file C:\WINDOWS\System32\desktop.exe failed! Could not process line: C:\WINDOWS\System32\desktop.exe Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\desktop deleted successfully. Completed script processing. ******************* Finished! Terminate. Christoph - 06-09-10 23:17:55,74 ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078 Microsoft Windows XP [Version 5.1.2600] ((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 )))))))))))))))))))))))))))))))))) 2006-09-10 23:01 126,976 --a------ C:\zip.exe 2006-09-10 23:01 116 --a------ C:\avexport.bat 2006-09-10 23:01 1,080 --a------ C:\ovjthbyh.bat (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-09-10 23:01 60416 --a------ C:\WINDOWS\system32\drivers\paemywvq.sys 2006-06-17 13:02 57384 --a------ C:\WINDOWS\system32\avsda.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe" "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize" "gcasServ"="\"C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "desktop"="C:\\WINDOWS\\System32\\desktop.exe" "oslsalbu"="C:\\ovjthbyh.bat" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "NoChange"="1" "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "desktop"="C:\\WINDOWS\\System32\\desktop.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoCDBurning"=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000005 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "desktop"="C:\\WINDOWS\\System32\\desktop.exe" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "desktop"="C:\\WINDOWS\\System32\\desktop.exe" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk" "backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l" "item"="Microsoft Office" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6übersicht.lnk] "path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\p6übersicht.lnk" "backup"="C:\\WINDOWS\\pss\\p6übersicht.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\phase6\\phase6\\WinStart\\WinStart.exe " "item"="p6übersicht" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Christoph^Startmenü^Programme^Autostart^UltimateZip Quick Start.lnk] "path"="C:\\Dokumente und Einstellungen\\Christoph\\Startmenü\\Programme\\Autostart\\UltimateZip Quick Start.lnk" "backup"="C:\\WINDOWS\\pss\\UltimateZip Quick Start.lnkStartup" "location"="Startup" "command"="C:\\PROGRA~1\\ULTIMA~1\\uzqkst.exe " "item"="UltimateZip Quick Start" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AVGCtrl] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AVGNT" "hkey"="HKLM" "command"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ICQLite" "hkey"="HKLM" "command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize" "inimapping"="0" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RealTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="RealPlay" "hkey"="HKLM" "command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER" "inimapping"="0" Completion time: 10.09.2006 23:18:53.45 ComboFix.txt |
|
|
|
|
|
|
10.09.2006, 23:37
Ehrenmitglied
Beiträge: 29434 |
#6
hast du die reg-Datei erstellt ?? die Eintraege sind alle noch da...
 + ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren --------------------------------------------------- ist fuer mich C:\WINDOWS\system32\drivers\paemywvq.sys C:\zip.exe C:\avexport.bat C:\ovjthbyh.bat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.09.2006, 09:20
...neu hier
Themenstarter Beiträge: 6 |
#7
ja das mit dem fixme.reg hatte ich gemacht...
Den bericht von servicefilter.zip gibts heute nachmittag bin mit dem schulpc online
|
|
|
|
|
|
|
11.09.2006, 12:43
Ehrenmitglied
Beiträge: 29434 |
#8
poste dann den bericht, es kann sein, dass sich ein Dienst erstellt hat... mal sehen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.09.2006, 16:29
...neu hier
Themenstarter Beiträge: 6 |
#9
The script did not recognize the services listed below.
This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Sep 11, 2006 16:25:28 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir Scheduler Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1404 Started: Wahr Exit Code: 0 Accept Pause: Wahr Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Service Start Mode: Auto Start Name: LocalSystem Description: Echtzeit Virenschutz durch H+BEDV AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1440 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service #3 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{9cbd0dd0-9455-42e3-93e8-5dabf3d06cf4} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 79 Win32 services on this machine. 3 were unrecognized. Script Execution Time: 15,21094 seconds. |
|
|
|
|
|
|
11.09.2006, 17:54
Ehrenmitglied
Beiträge: 29434 |
#10
gehe in die registry
Start - Ausfuehren - regedit bearbeiten - suchen - desktop.exe loesche, was du findest [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""desktop"="C:\\WINDOWS\\System32\\desktop.exe" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "desktop"="C:\\WINDOWS\\System32\\desktop.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices] "desktop"="C:\\WINDOWS\\System32\\desktop.exe ------------------------------------------------------- Avenger Zitat Files to delete:scanne mit Panda und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.09.2006, 18:14
...neu hier
Themenstarter Beiträge: 6 |
#11
//////////////////////////////////////////
Avenger Pre-Processor log ////////////////////////////////////////// Error: could not create zip file. Error code: 1813 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\wrgcmrhx ******************* Script file located at: \??\C:\WINDOWS\System32\pkmnbbab.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\drivers\paemywvq.sys deleted successfully. File C:\zip.exe deleted successfully. File C:\avexport.bat deleted successfully. File C:\ovjthbyh.bat deleted successfully. Completed script processing. ******************* Finished! Terminate. hab gemerkt das du editiert hast: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\vnogfxmp ******************* Script file located at: \??\C:\pxpxovxn.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\Programme\Windows Media Player\wmplayer.exe.tmp deleted successfully. File C:\WINDOWS\system32\drivers\paemywvq.sys not found! Deletion of file C:\WINDOWS\system32\drivers\paemywvq.sys failed! Could not process line: C:\WINDOWS\system32\drivers\paemywvq.sys Status: 0xc0000034 File C:\zip.exe deleted successfully. File C:\avexport.bat not found! Deletion of file C:\avexport.bat failed! Could not process line: C:\avexport.bat Status: 0xc0000034 File C:\ovjthbyh.bat not found! Deletion of file C:\ovjthbyh.bat failed! Could not process line: C:\ovjthbyh.bat Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Incident Status Location Adware:adware/cws.yexe Not disinfected c:\windows\system32\Services Adware:adware/ist.istbar Not disinfected c:\programme\gemeinsame dateien\Totem Shared Adware:adware/cws Not disinfected Windows Registry Adware:adware/cws.searchmeup Not disinfected Windows Registry Adware:adware/startpage.ic Not disinfected Windows Registry Spyware:Cookie/Atwola Not disinfected C:\Dokumente und Einstellungen\Christoph\Cookies\christoph@atwola[1].txt Spyware:Cookie/2o7 Not disinfected C:\Dokumente und Einstellungen\Christoph\Cookies\christoph@2o7[2].txt Spyware:Cookie/Adtech Not disinfected C:\Dokumente und Einstellungen\Christoph\Cookies\christoph@adtech[2].txt Spyware:Cookie/Doubleclick Not disinfected Dieser Beitrag wurde am 11.09.2006 um 19:56 Uhr von ChristophR editiert.
|
|
|
|
|
|
|
11.09.2006, 23:30
Ehrenmitglied
Beiträge: 29434 |
#12
Avenger
Zitat Files to delete:poste den report vom avenger ** CWShredder http://virus-protect.org/antispytools.html Während des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! * Doppelklick CWShredder.exe * Klick "Fix ->" und klick "OK" * CWShredder scannen lassen * Click "Next->" und dann "Exit". * Log-->"make Report"--> bitte posten ** dann mache die Windowsupdates, ich verstehe nicht, wie du ohne im Net rumgondeln kannst Zitat 1. Wählen Sie im Start-Menü den Befehl Windows Update.** poste noch mal die 4 logs von datfindbat (3 monate von jedem Log genuegen, die daten von 2001 interessieren nicht) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Kaspersky: C:\Programme\Windows Media Player\wmplayer.exe.tmp Infizierte Objekte: Trojan-Downloader.Win32.Small.amq
Hier mal die ganze Logs wie nach Anweisung hoffe ihr könnt mir helfen:
Logfile of HijackThis v1.99.1
Scan saved at 21:59:21, on 10.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://daosearch.com/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://daosearch.com/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [desktop] C:\WINDOWS\System32\desktop.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
Christoph - 06-09-10 22:21:32,69
ComboFix 06.09.07 - Running from: C:\Dokumente und Einstellungen\Christoph\Eigene Dateien\ICQ Lite\329532205\MichaelN_195597078
Microsoft Windows XP [Version 5.1.2600]
((((((((((((((((((((((((((((((( Files Created from 2006-08-10 to 2006-09-10 ))))))))))))))))))))))))))))))))))
2006-08-26 23:14 18,432 --------- C:\WINDOWS\system32\desktop.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-06-17 13:02 57384 --a------ C:\WINDOWS\system32\avsda.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"gcasServ"="\"C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoCDBurning"=dword:00000000
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"desktop"="C:\\WINDOWS\\System32\\desktop.exe"
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6übersicht.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\p6übersicht.lnk"
"backup"="C:\\WINDOWS\\pss\\p6übersicht.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\phase6\\phase6\\WinStart\\WinStart.exe "
"item"="p6übersicht"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Christoph^Startmenü^Programme^Autostart^UltimateZip Quick Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\Christoph\\Startmenü\\Programme\\Autostart\\UltimateZip Quick Start.lnk"
"backup"="C:\\WINDOWS\\pss\\UltimateZip Quick Start.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\ULTIMA~1\\uzqkst.exe "
"item"="UltimateZip Quick Start"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AVGCtrl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\desktop]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="desktop"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\desktop.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"
Completion time: 10.09.2006 22:22:38.88
ComboFix.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2121-13EC
Verzeichnis von C:\
10.09.2006 22:25 0 sys.txt
10.09.2006 22:25 8.294 system.txt
10.09.2006 22:25 931 systemtemp.txt
10.09.2006 22:25 93.803 system32.txt
10.09.2006 22:22 6.508 ComboFix.txt
26.08.2006 23:11 100.192.256 hiberfil.sys
26.08.2006 23:11 242.221.056 pagefile.sys
26.08.2006 23:07 7.499 lxcfunst.csv
26.08.2006 23:05 100 lxcf.log
26.08.2006 22:44 427 LXCFINST.csv
26.08.2006 22:37 240 CDFE.log
26.08.2006 22:37 0 lxcffire.csv
09.04.2006 20:15 4.503 aoesync.txt
15.04.2005 17:06 194 boot.ini
07.04.2005 19:57 166 AUTOEXEC.BAT
07.04.2005 19:57 148 CONFIG.SYS
25.07.2004 13:33 227 DelUS.BAT
23.07.2004 20:59 5.787.792 zlsSetup_50_590_043.exe
27.02.2004 16:39 13.030 PDOXUSRS.NET
09.02.2004 20:29 553.687 RegCleaner.exe
03.02.2004 18:11 512 bootsect.dos
03.02.2004 18:01 29.571 BOOTLOG.TXT
03.02.2004 17:54 426 BOOTLOG.PRV
30.01.2004 16:21 54.525.952 WIN386.SWP
14.07.2003 17:37 72.425 DETLOG.TXT
16.06.2003 13:27 63 WINDOWSWinHlp32.BMK
08.06.2003 20:05 77.824 ffastun.ffo
08.06.2003 20:05 4.379 ffastun.ffa
08.06.2003 20:05 196.608 ffastun.ffl
08.06.2003 20:05 516.096 ffastun0.ffx
03.06.2003 19:17 8.006 NETLOG.TXT
03.06.2003 19:17 137.029 SETUPLOG.TXT
03.06.2003 19:15 1.676 Msdos.mxd
03.06.2003 19:15 1.676 MSDOS.SYS
03.06.2003 19:06 8.456 SUHDLOG.DAT
03.06.2003 19:06 1.708.064 SYSTEM.1ST
03.06.2003 18:50 32.768 VIDEOROM.BIN
03.06.2003 18:49 100 CONFIG.DOS
03.06.2003 18:49 134 AUTOEXEC.DOS
03.06.2003 18:38 8.456 SUHDLOG.---
03.06.2003 18:30 22 MSDOS.---
16.01.2003 17:16 967 DelUS.PIF
18.08.2001 12:00 224.032 ntldr
18.08.2001 12:00 4.952 bootfont.bin
18.08.2001 12:00 45.124 NTDETECT.COM
24.05.2001 12:59 162.304 UNWISE.EXE
15.05.1998 20:01 96.360 COMMAND.COM
15.05.1998 20:01 222.390 IO.SYS
48 Datei(en) 406.977.233 Bytes
0 Verzeichnis(se), 1.421.660.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2121-13EC
Verzeichnis von C:\WINDOWS
10.09.2006 19:07 1.008.721 setupapi.log
10.09.2006 19:06 400.653 WindowsUpdate.log
26.08.2006 23:12 0 0.log
26.08.2006 23:11 2.048 bootstat.dat
26.08.2006 23:09 32.644 SchedLgU.Txt
26.08.2006 23:09 216 wiadebug.log
26.08.2006 23:09 50 wiaservc.log
26.06.2005 19:37 57.893 tsoc.log
26.06.2005 19:37 48.156 comsetup.log
26.06.2005 19:37 27.859 ntdtcsetup.log
26.06.2005 19:37 1.917 imsins.log
26.06.2005 19:37 167.517 iis6.log
26.06.2005 19:37 57.147 ocgen.log
26.06.2005 19:37 4.675 ocmsn.log
26.06.2005 19:37 5.941 msgsocm.log
26.06.2005 19:37 109.663 FaxSetup.log
26.06.2005 19:36 40.208 msmqinst.log
26.06.2005 19:35 171.500 setupact.log
03.06.2005 14:47 43 FZapper.ini
29.05.2005 10:22 1.165 OEWABLog.txt
26.05.2005 14:55 132 Skullbyte Match.ini
15.05.2005 10:45 1.955 ACROREAD.INI
04.05.2005 21:04 811 win.ini
01.05.2005 10:44 26 yguaotf.dat
30.04.2005 18:17 524 bpfdat.dat
29.04.2005 17:52 466 cncscore.ini
27.04.2005 16:15 83 WinFight.ini
17.04.2005 17:01 83 wwp.INI
15.04.2005 17:06 273 system.ini
07.04.2005 20:28 400 ODBC.INI
07.04.2005 20:28 4.335 ODBCINST.INI
07.04.2005 20:01 4 msoffice.ini
08.02.2005 13:56 13.793 KB841356.log
08.02.2005 13:56 1.355 imsins.BAK
08.02.2005 13:53 11.039 KB841533.log
31.01.2005 20:23 4.022 KB840987.log
31.01.2005 20:05 3.435 KB873376.log
31.01.2005 14:57 275 TZSPII.dat
30.01.2005 15:29 660 Ulead32.ini
30.01.2005 14:30 114 maxlink.ini
30.01.2005 14:30 81 TB96.INI
28.01.2005 19:27 121.450 wmsetup.log
17.01.2005 14:54 87.856 hausaufgaben[hun-10476,1].exe
16.01.2005 10:01 74.752 ST6UNST.EXE
10.01.2005 18:54 4 info147.sys
10.01.2005 18:53 3.588.275 Planet-F1 The Girls.exe
10.01.2005 18:53 28.672 kmouse32.dll
10.01.2005 18:52 86.568 Planet-F1 The Girls.scr
10.01.2005 13:42 40.960 f1glamour2001.dll
10.01.2005 13:42 18.192 f1glamour2001.dat
10.01.2005 13:42 621.912 f1glamour2001.scr
10.01.2005 13:42 3.313.616 f1glamour2001.exe
09.01.2005 15:57 48 scmate.ini
16.12.2004 15:56 46 wslam.ini
16.12.2004 15:19 796.672 GPInstall.exe
16.12.2004 15:02 469.712 macromix.dll
16.12.2004 15:02 30.544 dirdib.drv
01.12.2004 17:44 36 Phantom.ini
07.11.2004 19:10 83 Baby Boh!.ini
07.11.2004 17:46 83.198 DirectX.log
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2121-13EC
Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
10.09.2006 22:24 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}9433.html
10.09.2006 21:28 16.384 ~DFD974.tmp
10.09.2006 21:28 512 ~DFD96A.tmp
10.09.2006 21:28 16.384 ~DFD961.tmp
10.09.2006 21:28 16.384 ~DFD938.tmp
10.09.2006 21:28 512 ~DFD957.tmp
10.09.2006 21:28 512 ~DFD941.tmp
10.09.2006 21:28 16.384 ~DFD94E.tmp
10.09.2006 21:28 49.152 ~DFD97D.tmp
10.09.2006 21:28 16.384 ~DFCE51.tmp
10.09.2006 21:28 16.384 ~DFB7F1.tmp
10.09.2006 21:28 512 ~DFB7FA.tmp
26.08.2006 23:14 32.768 ~DFB3EE.tmp
13 Datei(en) 183.250 Bytes
0 Verzeichnis(se), 1.421.701.120 Bytes frei