win**.tmp trojaner

#1 hallo forumsmitglieder,

ich habe ein problem mit dem win***.tmp und win**.tmp.exe trojaner.

ich habe im forum schon mehrere threads zu diesem thema gefunden und schon folgendes gemacht:

1. hijack this file erstellt
2. datfind textdateien erstellt
3. Cleanup durchgeführt
4. Combofix durchgeführt

Avenger habe ich noch nicht durchgeführt, da dort individuelle dateipfade angegeben werden.

mein hijack this file: (vor der durchführung von punkt 1-4)

Logfile of HijackThis v1.99.1
Scan saved at 13:40:18, on 20.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
F:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\Spyware Doctor\sdhelp.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\UPHClean\uphclean.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\TEMP\win281.tmp.exe
C:\Programme\Avant Browser\avant.exe
C:\Downloads\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - c:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alle Links auf dieser Seite öffnen... - C:\Programme\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In neuer AvantBrowser-Instanz öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - F:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156864816749
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156864788374
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - c:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Programme\Norton Internet Security\comHost.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - F:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pesatukuir - Raxco Software, Inc. - (no file)
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - F:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


Danke im Voraus für die Hilfe. :-)

#2 combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für die rasche Antwort Sabina :-)

hier der combofix.

Marc - 06-10-20 13:57:46,57 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Programme\Free Download Manager"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-09-20 to 2006-10-20 ))))))))))))))))))))))))))))))))))


2006-10-19 00:52 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2006-10-13 17:30 2,368 --a------ C:\WINDOWS\system32\SVKP.sys
2006-10-13 16:44 8,704 --------- C:\WINDOWS\system32\drivers\InCDrec.sys
2006-10-13 16:44 33,536 --------- C:\WINDOWS\system32\drivers\InCDrm.sys
2006-10-13 16:44 3,067,904 --------- C:\WINDOWS\NuNinst.exe
2006-10-13 16:44 29,440 --------- C:\WINDOWS\system32\drivers\InCDpass.sys
2006-10-13 16:44 102,016 --------- C:\WINDOWS\system32\drivers\InCDfs.sys
2006-10-13 16:39 3,051,520 --------- C:\WINDOWS\UNNMP.exe
2006-10-13 16:38 5,888 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2006-10-13 16:38 127,488 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2006-10-13 15:56 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2006-10-13 15:54 3,051,520 --------- C:\WINDOWS\UNNeroVision.exe
2006-10-13 15:53 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2006-10-13 15:53 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2006-10-13 15:53 38,912 --------- C:\WINDOWS\system32\picn20.dll
2006-10-13 15:53 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2006-10-13 15:53 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2006-10-13 15:53 106,496 --------- C:\WINDOWS\system32\TwnLib20.dll
2006-10-13 15:53 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2006-10-11 18:52 1,339 ---hs---- C:\WINDOWS\system32\uvvwa.ini2
2006-10-10 15:59 24,576 --a------ C:\WINDOWS\CTXFIGER.DLL
2006-10-09 23:57 684,084 ---hs---- C:\WINDOWS\system32\awvvu.dll
2006-10-09 23:52 18,432 --a------ C:\WINDOWS\system32\winmxw32.dll
2006-09-30 12:10 5,632 --a------ C:\WINDOWS\system32\drivers\Entech64.sys
2006-09-30 12:10 3,972 --a------ C:\WINDOWS\system32\drivers\PciBus.sys
2006-09-30 12:10 21,664 --a------ C:\WINDOWS\system32\drivers\Entech.sys
2006-09-24 19:15 20,096 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2006-09-21 18:08 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-09-21 17:27 720,412 --a------ C:\WINDOWS\system32\MGB_ScreenSaver.scr
2006-09-21 17:27 5,214,208 --a------ C:\WINDOWS\system32\vistaui.exe
2006-09-21 17:27 399,239 --a------ C:\WINDOWS\system32\vimc.exe
2006-09-21 17:27 382,976 --a------ C:\WINDOWS\system32\Vista.scr
2006-09-21 17:25 81,920 --a------ C:\WINDOWS\system32\closeapp.exe
2006-09-21 17:25 19,968 --a------ C:\WINDOWS\system32\reico.exe
2006-09-21 17:25 111,104 --a------ C:\WINDOWS\system32\Uharc.exe
2006-09-21 09:32 36,864 --a------ C:\WINDOWS\system32\wbsys.dll
2006-09-21 09:32 20,480 --a------ C:\WINDOWS\system32\wbload.dll
2006-09-21 09:25 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2006-09-20 13:44 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-09-20 09:40 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-09-20 09:40 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-20 13:57 -------- d-------- C:\Programme\Free Download Manager
2006-10-20 13:57 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Free Download Manager
2006-10-20 13:40 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-20 13:13 -------- d-------- C:\Programme\Symantec
2006-10-20 13:13 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Desktop Sidebar
2006-10-20 13:04 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-20 13:02 -------- d-------- C:\Programme\Norton Internet Security
2006-10-20 12:53 -------- d-------- C:\Programme\a-squared Free
2006-10-20 12:16 -------- d-------- C:\Programme\CleanUp!
2006-10-20 10:59 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-10-19 14:00 -------- d-------- C:\Programme\a-squared Anti-Malware
2006-10-19 00:50 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\WholeSecurity
2006-10-18 23:33 15360 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-10-18 23:33 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-10-18 23:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-18 08:09 -------- d-------- C:\Programme\Windows Defender
2006-10-16 16:41 -------- d---s---- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Microsoft
2006-10-16 15:02 -------- d-------- C:\Programme\MSXML 4.0
2006-10-13 17:43 -------- d-------- C:\Programme\Trojancheck 6
2006-10-13 15:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-10-12 14:34 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\PC Tools
2006-10-12 00:37 -------- d-------- C:\Programme\Prime95
2006-10-11 20:02 -------- d-------- C:\Programme\UPHClean
2006-10-10 16:45 -------- d-------- C:\Programme\DkZ Studio
2006-10-10 16:41 4510 --a------ C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\wklnhst.dat
2006-10-10 16:01 -------- d-------- C:\Programme\Creative
2006-10-10 16:00 86016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2006-10-10 16:00 409600 --a------ C:\WINDOWS\system32\wrap_oal.dll
2006-10-10 15:59 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Creative
2006-10-09 23:40 -------- d-------- C:\Programme\BearFlix
2006-10-09 23:22 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\PersBackup
2006-10-09 20:08 -------- d-------- C:\Programme\SpeedFan
2006-10-09 15:50 -------- d-------- C:\Programme\SuperPI
2006-10-06 13:50 -------- d-------- C:\Programme\ATITool
2006-10-06 13:49 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\ATI
2006-10-06 13:37 -------- d-------- C:\Programme\RegCleaner
2006-10-06 13:36 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-06 13:12 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-06 13:12 -------- d-------- C:\Programme\ATI Technologies
2006-10-06 12:42 -------- d-------- C:\Programme\Ray Adams
2006-10-06 00:13 -------- d-------- C:\Programme\OfficeUpdate11
2006-10-05 16:19 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Macromedia
2006-10-05 14:46 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Sun
2006-10-05 14:43 -------- d-------- C:\Programme\Java
2006-10-05 14:43 -------- d-------- C:\Programme\Gemeinsame Dateien\Java
2006-10-05 14:16 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Talkback
2006-10-05 13:51 -------- d-------- C:\Programme\Opera
2006-10-05 13:51 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Opera
2006-10-03 09:58 -------- d-------- C:\Programme\FlashGet
2006-10-02 23:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-02 12:22 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\AdobeUM
2006-09-30 13:47 -------- d-------- C:\Programme\VBTUCopy
2006-09-28 13:45 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Help
2006-09-27 13:00 -------- d-------- C:\Programme\Avant Browser
2006-09-27 13:00 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Avant Profiles
2006-09-27 13:00 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Avant Browser
2006-09-26 09:27 40 ---hs---- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\.zreglib
2006-09-26 09:06 -------- d-------- C:\Programme\SlySoft
2006-09-25 18:12 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Adobe
2006-09-25 11:29 -------- d-------- C:\Programme\Adobe
2006-09-25 11:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-25 11:20 -------- d-------- C:\Programme\Raxco
2006-09-25 11:20 -------- d-------- C:\Programme\Gemeinsame Dateien\Raxco
2006-09-21 18:10 -------- d-------- C:\Programme\Gemeinsame Dateien\stardock
2006-09-21 18:08 2560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-09-21 17:34 -------- d-------- C:\Programme\Yahoo!
2006-09-21 17:27 -------- d-------- C:\Programme\Outlook Express
2006-09-21 17:27 -------- d-------- C:\Programme\LClock
2006-09-21 17:27 -------- d-------- C:\Programme\Internet Explorer
2006-09-21 17:25 219648 --a------ C:\WINDOWS\system32\uxtheme.dll
2006-09-21 13:30 -------- d-------- C:\Programme\TGTSoft
2006-09-21 13:23 -------- d-------- C:\Programme\Stardock
2006-09-20 16:29 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Ahead
2006-09-20 12:41 -------- d-------- C:\Programme\WinUHA
2006-09-20 10:52 -------- d-------- C:\Programme\Shareaza
2006-09-20 10:52 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Shareaza
2006-09-20 09:40 -------- d-------- C:\Programme\Winamp
2006-09-19 15:52 -------- d-------- C:\Programme\Smart Projects
2006-09-18 09:47 -------- d-------- C:\Programme\VIA
2006-09-17 19:22 -------- d-------- C:\Programme\JoWooD
2006-09-15 22:04 48816 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 22:04 109744 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-15 09:10 -------- d-------- C:\Programme\ACE-HIGH MP3 WAV WMA OGG Converter
2006-09-14 11:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-09-14 11:02 -------- d-------- C:\Programme\PIXELA
2006-09-14 11:02 -------- d-------- C:\Programme\Caplio Software
2006-09-13 07:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 17:51 1245184 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-01 15:54 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\atitray
2006-08-31 23:15 11973 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-08-31 21:56 -------- d-------- C:\Programme\RivaTuner v2.0 RC 15.8
2006-08-31 18:03 -------- d-------- C:\Programme\Windows Media Player
2006-08-31 07:31 -------- d-------- C:\Programme\Elaborate Bytes
2006-08-30 19:24 -------- d-------- C:\Programme\Tweak-XP Pro 4
2006-08-30 19:07 737280 --a------ C:\WINDOWS\iun6002.exe
2006-08-30 18:56 -------- d-------- C:\Programme\Desktop Sidebar
2006-08-30 18:31 -------- d-------- C:\Programme\Microsoft AutoRoute
2006-08-30 18:30 -------- d-------- C:\Programme\Microsoft Office
2006-08-30 18:29 -------- d-------- C:\Programme\Encarta
2006-08-30 18:28 -------- d-------- C:\Programme\Picture It! Premium 10
2006-08-30 18:21 -------- d-------- C:\Programme\Microsoft Works
2006-08-30 18:15 -------- d-------- C:\Programme\Microsoft Works Suite 2005
2006-08-30 17:18 -------- d-------- C:\Programme\Driver Cleaner
2006-08-30 16:47 -------- d-------- C:\Programme\MultiRes
2006-08-30 16:46 451072 --a------ C:\WINDOWS\Radeon Omega Drivers v3.8.273 Uninstall.exe
2006-08-30 12:57 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\TuneUp Software
2006-08-30 12:50 -------- d-------- C:\Programme\WinRAR
2006-08-30 12:49 -------- d-------- C:\Programme\CCleaner
2006-08-30 07:09 -------- d-------- C:\Programme\Microsoft Visual Studio
2006-08-30 07:09 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-08-30 07:09 -------- d-------- C:\Programme\Gemeinsame Dateien\DESIGNER
2006-08-30 07:08 -------- d-------- C:\Programme\Microsoft.NET
2006-08-29 21:37 65856 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2006-08-29 21:37 37888 --a------ C:\WINDOWS\system32\setupnt.dll
2006-08-29 21:37 369152 --a------ C:\WINDOWS\system32\autoprnt.exe
2006-08-29 21:37 102400 --a------ C:\WINDOWS\system32\snapapi.dll
2006-08-29 21:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Acronis
2006-08-29 21:37 -------- d-------- C:\Programme\Acronis
2006-08-29 20:21 -------- d-------- C:\Programme\Messenger
2006-08-29 19:17 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Mozilla
2006-08-29 19:10 -------- d-------- C:\Programme\Lavasoft
2006-08-29 19:10 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Lavasoft
2006-08-29 19:08 -------- d-------- C:\Programme\xp-AntiSpy
2006-08-29 17:49 -------- d-------- C:\Programme\Movie Maker
2006-08-29 17:48 -------- d-------- C:\Programme\Windows NT
2006-08-29 17:48 -------- d-------- C:\Programme\NetMeeting
2006-08-29 17:20 -------- d--h----- C:\Programme\WindowsUpdate
2006-08-29 17:04 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Symantec
2006-08-29 17:00 10344 --a------ C:\WINDOWS\system32\drivers\symlcbrd.sys
2006-08-29 16:53 -------- d-------- C:\Programme\ASUS
2006-08-29 16:47 21035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2006-08-29 16:47 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-08-29 16:47 -------- d-------- C:\Programme\ASUS WiFi-AP Solo
2006-08-29 16:45 -------- d-------- C:\Programme\Marvell
2006-08-29 16:27 -------- d-------- C:\Programme\Intel
2006-08-29 01:56 62 --ahs---- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\desktop.ini
2006-08-29 01:56 -------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2006-08-29 01:56 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-08-29 01:04 -------- d--h----- C:\Programme\Uninstall Information
2006-08-29 01:04 -------- d-------- C:\Dokumente und Einstellungen\Marc\Anwendungsdaten\Identities
2006-08-29 01:02 -------- d-------- C:\Programme\xerox
2006-08-29 01:02 -------- d-------- C:\Programme\microsoft frontpage
2006-08-29 01:01 0 -rahs---- C:\MSDOS.SYS
2006-08-29 01:01 0 -rahs---- C:\IO.SYS
2006-08-29 01:01 0 --a------ C:\CONFIG.SYS
2006-08-29 01:01 0 --a------ C:\AUTOEXEC.BAT
2006-08-29 01:01 -------- d-------- C:\Programme\Online-Dienste
2006-08-29 01:00 -------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2006-08-29 01:00 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-08-29 01:00 -------- d-------- C:\Programme\ComPlus Applications
2006-08-29 00:59 -------- d-------- C:\Programme\Online Services
2006-08-29 00:59 -------- d-------- C:\Programme\MSN Gaming Zone
2006-08-29 00:59 -------- d-------- C:\Programme\MSN
2006-08-25 17:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-16 13:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-11 14:57 81920 --a------ C:\WINDOWS\system32\ctcoinst.dll
2006-08-11 14:57 37888 --a------ C:\WINDOWS\system32\CTBURST.DLL
2006-08-11 14:57 146432 --a------ C:\WINDOWS\system32\ctdvinst.dll
2006-08-11 14:56 7168 --a------ C:\WINDOWS\system32\CTAGENT.DLL
2006-08-11 14:56 35840 --a------ C:\WINDOWS\READREG.EXE
2006-08-11 14:56 34304 --a------ C:\WINDOWS\PSCONV.EXE
2006-08-11 14:56 33792 --a------ C:\WINDOWS\system32\a3d.dll
2006-08-11 14:56 30208 --a------ C:\WINDOWS\system32\CTPCMCIA.DLL
2006-08-11 14:56 26624 --a------ C:\WINDOWS\system32\AC3API.DLL
2006-08-11 14:56 26112 --a------ C:\WINDOWS\system32\CTXFIBTN.DLL
2006-08-11 14:56 25088 --a------ C:\WINDOWS\system32\CTXFISPK.DLL
2006-08-11 14:56 23040 --a------ C:\WINDOWS\system32\CTSPKHLP.DLL
2006-08-11 14:56 18944 --a------ C:\WINDOWS\system32\CTXFIHLP.EXE
2006-08-11 14:56 17920 --a------ C:\WINDOWS\CTHELPER.EXE
2006-08-11 14:56 11776 --a------ C:\WINDOWS\system32\CTMMEP.DLL
2006-08-11 14:55 9216 --a------ C:\WINDOWS\system32\CTPRES.DLL
2006-08-11 14:55 75264 --a------ C:\WINDOWS\system32\CTSCAL.DLL
2006-08-11 14:55 64000 --a------ C:\WINDOWS\system32\CTTHXCAL.DLL
2006-08-11 14:55 286208 --a------ C:\WINDOWS\system32\CTDC0001.DLL
2006-08-11 14:55 190976 --a------ C:\WINDOWS\system32\CTDC0000.DLL
2006-08-11 14:55 129536 --a------ C:\WINDOWS\system32\CTDCIFCE.DLL
2006-08-11 14:55 10240 --a------ C:\WINDOWS\CTDCRES.DLL
2006-08-11 14:53 733184 --a------ C:\WINDOWS\system32\CTXFISPI.EXE
2006-08-11 14:53 52224 --a------ C:\WINDOWS\system32\CTXFISPI.DLL
2006-08-11 14:53 42496 --a------ C:\WINDOWS\system32\CTXFIREG.EXE
2006-08-11 14:48 87552 --a------ C:\WINDOWS\system32\commonfx.dll
2006-08-11 14:48 61952 --a------ C:\WINDOWS\system32\CTHWIUT.DLL
2006-08-11 14:48 548352 --a------ C:\WINDOWS\system32\ctsblfx.dll
2006-08-11 14:48 536576 --a------ C:\WINDOWS\system32\ctaudfx.dll
2006-08-11 14:48 317952 --a------ C:\WINDOWS\system32\CTEDSPSY.DLL
2006-08-11 14:48 160768 --a------ C:\WINDOWS\system32\cteapsfx.dll
2006-08-11 14:48 158720 --a------ C:\WINDOWS\system32\CT20XUT.DLL
2006-08-11 14:48 1170432 --a------ C:\WINDOWS\system32\CTEXFIFX.dll
2006-08-11 14:48 108032 --a------ C:\WINDOWS\system32\ctemupia.dll
2006-08-11 14:45 74752 --a------ C:\WINDOWS\system32\CTASIO.DLL
2006-08-11 14:45 73728 --a------ C:\WINDOWS\system32\piaproxy.dll
2006-08-11 14:45 71680 --a------ C:\WINDOWS\system32\ctdproxy.dll
2006-08-11 14:45 47616 --a------ C:\WINDOWS\system32\CTEDASIO.DLL
2006-08-11 14:45 33792 --a------ C:\WINDOWS\system32\REGPLIB.EXE
2006-08-11 14:45 269824 --a------ C:\WINDOWS\system32\CTEDSPFX.DLL
2006-08-11 14:45 21504 --a------ C:\WINDOWS\system32\sfman32.dll
2006-08-11 14:45 200192 --a------ C:\WINDOWS\system32\CT_OAL.DLL
2006-08-11 14:45 132096 --a------ C:\WINDOWS\system32\CTOSUSER.DLL
2006-08-11 14:45 120832 --a------ C:\WINDOWS\system32\SFMS32.DLL
2006-08-11 14:45 115200 --a------ C:\WINDOWS\system32\CTEDSPIO.DLL
2006-08-11 14:43 9216 --a------ C:\WINDOWS\system32\KILLAPPS.EXE
2006-08-11 14:43 4096 --a------ C:\WINDOWS\system32\ENLOCSTR.EXE
2006-08-11 14:42 47104 --a------ C:\WINDOWS\system32\DEVREG.DLL
2006-08-11 14:42 25600 --a------ C:\WINDOWS\MIDIDEF.EXE
2006-08-07 16:02 534208 --a------ C:\WINDOWS\system32\SymNeti.dll
2006-08-07 16:02 161472 --a------ C:\WINDOWS\system32\SymRedir.dll
2006-08-03 00:12 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2006-08-03 00:08 258048 --a------ C:\WINDOWS\system32\ati2dvag.dll
2006-08-03 00:08 258048 --a------ C:\WINDOWS\system32\ati2dvag(3).dll
2006-08-03 00:08 258048 --a------ C:\WINDOWS\system32\ati2dvag(2).dll
2006-08-03 00:02 86016 --a------ C:\WINDOWS\system32\ati2evxx.dll
2006-08-03 00:02 86016 --a------ C:\WINDOWS\system32\ati2evxx(3).dll
2006-08-03 00:02 86016 --a------ C:\WINDOWS\system32\ati2evxx(2).dll
2006-08-03 00:02 77824 --a------ C:\WINDOWS\system32\Oemdspif.dll
2006-08-03 00:02 41984 --a------ C:\WINDOWS\system32\ati2edxx.dll
2006-08-03 00:02 41984 --a------ C:\WINDOWS\system32\ati2edxx(3).dll
2006-08-03 00:02 41984 --a------ C:\WINDOWS\system32\ati2edxx(2).dll
2006-08-03 00:02 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2006-08-03 00:02 114688 --a------ C:\WINDOWS\system32\atipdlxx.dll
2006-08-03 00:01 401408 --a------ C:\WINDOWS\system32\ati2evxx.exe
2006-08-03 00:01 401408 --a------ C:\WINDOWS\system32\ati2evxx(3).exe
2006-08-03 00:01 401408 --a------ C:\WINDOWS\system32\ati2evxx(2).exe
2006-08-03 00:00 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2006-08-02 23:55 2373088 --a------ C:\WINDOWS\system32\ati3duag.dll
2006-08-02 23:55 2373088 --a------ C:\WINDOWS\system32\ati3duag(3).dll
2006-08-02 23:55 2373088 --a------ C:\WINDOWS\system32\ati3duag(2).dll
2006-08-02 23:51 2354720 --a------ C:\WINDOWS\system32\ativvaxx.dll
2006-08-02 23:51 2354720 --a------ C:\WINDOWS\system32\ativvaxx(3).dll
2006-08-02 23:51 2354720 --a------ C:\WINDOWS\system32\ativvaxx(2).dll
2006-08-02 23:49 6684672 --a------ C:\WINDOWS\system32\atioglx1.dll
2006-08-02 23:45 5136384 --a------ C:\WINDOWS\system32\atioglxx.dll
2006-08-02 23:41 208896 --a------ C:\WINDOWS\system32\atikvmag.dll
2006-08-02 23:41 208896 --a------ C:\WINDOWS\system32\atikvmag(3).dll
2006-08-02 23:41 208896 --a------ C:\WINDOWS\system32\atikvmag(2).dll
2006-08-02 23:40 303104 --a------ C:\WINDOWS\system32\ATIDEMGR.dll
2006-08-02 23:40 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2006-08-02 23:35 286720 --a------ C:\WINDOWS\system32\ati2cqag.dll
2006-08-02 23:35 286720 --a------ C:\WINDOWS\system32\ati2cqag(3).dll
2006-08-02 23:35 286720 --a------ C:\WINDOWS\system32\ati2cqag(2).dll
2006-08-02 17:27 520192 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
@=""
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="http://www.pcgames.de/screenshots/medium/1158913164514.jpg"
"SubscribedURL"="http://www.pcgames.de/screenshots/medium/1158913164514.jpg"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,32,02,00,00,23,00,00,00,80,02,00,00,e0,01,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,f9,00,00,00,93,01,00,00,80,02,00,00,e0,01,\
00,00,01,00,00,40

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="http://www.impactxp.net/bbs/data/wallpaper/Normal_Divinity.jpg"
"SubscribedURL"="http://www.impactxp.net/bbs/data/wallpaper/Normal_Divinity.jpg"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,c5,fd,ff,ff,96,01,00,00,40,06,00,00,b0,04,00,00,ea,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,00
"OriginalStateInfo"=hex:18,00,00,00,27,03,00,00,6e,01,00,00,40,06,00,00,b0,04,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,b4,0e,41,c0,ac,74,38,9e,b2,04,68,de,b4,0e,20,6d,\
b4,0e,ff,76,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,b8,01,00,00,23,00,00,00,a4,00,00,00,9a,00,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,00
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"=""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AtiTrayTools"="\"C:\\Programme\\Ray Adams\\ATI Tray Tools\\atitray.exe\""
"SIDEBAR"="\"C:\\Programme\\Desktop Sidebar\\dsidebar.exe\""
"ATI Overclocking Utility"="C:\\Programme\\ATITool\\ATITool.exe"
"CPU-Z Application"="C:\\Downloads\\cpuz.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"JMB36X Configure"="C:\\WINDOWS\\System32\\JMRaidTool.exe boot"
"CTHelper"="CTHELPER.EXE"
"VBTUCopy"="C:\\Programme\\VBTUCopy\\VBTUCopy.exe /a /f"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"CTxfiHlp"="CTXFIHLP.EXE"
"a-squared"="\"C:\\Programme\\a-squared Anti-Malware\\a2guard.exe\""
"Launch Ai Booster"="\"C:\\Programme\\ASUS\\Ai Booster\\OverClk.exe\""
"LClock"="C:\\Programme\\LClock\\LClock.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ASUS WiFi-AP Solo.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\ASUS WiFi-AP Solo.lnk"
"backup"="C:\\WINDOWS\\pss\\ASUS WiFi-AP Solo.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ASUSWI~1\\RtWLan.exe /H"
"item"="ASUS WiFi-AP Solo"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ai Quicker Help]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AsRc"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\ASUS\\ASUS DH Remote\\AsRc.exe\""
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvvu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmxw32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Norton AntiVirus - Run Full System Scan - Marc.job

Completion time: 06-10-20 13:59:09.98
C:\ComboFix.txt ... 06-10-20 13:59



hier die 6 textdateien:


system 32

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 243C-D89D

Verzeichnis von C:\WINDOWS\system32

20.10.2006 16:12 1.339 uvvwa.ini2
20.10.2006 16:12 13.002 wpa.dbl
20.10.2006 16:10 11.564 DVCState-{00000001-00000000-00000001-00001102-00000004-00511102}.rfx
20.10.2006 16:10 1.080 settings.sfm
20.10.2006 16:10 1.080 settingsbkup.sfm
20.10.2006 16:10 27.408 BMXBkpCtrlState-{00000001-00000000-00000001-00001102-00000004-00511102}.rfx
20.10.2006 16:10 30.120 BMXStateBkp-{00000001-00000000-00000001-00001102-00000004-00511102}.rfx
20.10.2006 16:10 27.408 BMXCtrlState-{00000001-00000000-00000001-00001102-00000004-00511102}.rfx
20.10.2006 16:10 30.120 BMXState-{00000001-00000000-00000001-00001102-00000004-00511102}.rfx
20.10.2006 10:59 43.520 CmdLineExt03.dll
18.10.2006 23:33 15.360 BASSMOD.dll
16.10.2006 16:41 418.954 perfh007.dat
16.10.2006 16:41 63.266 perfc009.dat
16.10.2006 16:41 76.204 perfc007.dat
16.10.2006 16:41 403.664 perfh009.dat
16.10.2006 16:41 967.328 PerfStringBackup.INI
13.10.2006 17:30 2.368 SVKP.sys
12.10.2006 18:18 1.451 ikhcore.log
11.10.2006 19:46 1.279 uvvwa.ini
11.10.2006 18:52 2.059 uvvwa.tmp
10.10.2006 16:00 409.600 wrap_oal.dll
10.10.2006 16:00 86.016 OpenAL32.dll
10.10.2006 00:01 684.084 awvvu.dll
09.10.2006 23:52 18.432 winmxw32.dll
06.10.2006 12:01 552 d3d8caps.dat
05.10.2006 14:43 7.006 jupdate-1.5.0_06-b05.log
04.10.2006 22:03 9.639.336 MRT.exe
25.09.2006 14:21 272.576 FNTCACHE.DAT
25.09.2006 11:26 0 data1.cab
25.09.2006 11:26 0 Config.Msi
21.09.2006 17:25 219.648 uxtheme.dll
20.09.2006 13:44 98.304 CmdLineExt.dll
16.09.2006 23:19 4.096 crash
15.09.2006 22:04 48.816 S32EVNT1.DLL
13.09.2006 07:02 1.084.416 msxml3.dll
12.09.2006 17:51 1.245.184 msxml4.dll
04.09.2006 08:12 1.494.016 shdocvw.dll
31.08.2006 18:03 16.832 amcompat.tlb
31.08.2006 18:03 23.392 nscompat.tlb
30.08.2006 23:57 399.239 vimc.exe
30.08.2006 19:22 45 initdebug.nfo
30.08.2006 06:24 5.214.208 vistaui.exe
29.08.2006 21:37 369.152 autoprnt.exe
29.08.2006 21:37 37.888 setupnt.dll
29.08.2006 21:37 102.400 snapapi.dll
29.08.2006 17:54 269 spupdwxp.log
29.08.2006 17:20 12.980 wpa.bak
29.08.2006 01:59 0 h323log.txt
29.08.2006 01:04 25.065 wmpscheme.xml
29.08.2006 01:02 261 $winnt$.inf
29.08.2006 01:01 2.951 CONFIG.NT
29.08.2006 01:01 488 logonui.exe.manifest
29.08.2006 01:01 488 WindowsLogon.manifest
29.08.2006 01:01 749 cdplayer.exe.manifest
29.08.2006 01:01 749 nwc.cpl.manifest
29.08.2006 01:01 749 ncpa.cpl.manifest
29.08.2006 01:01 749 sapi.cpl.manifest
29.08.2006 01:01 749 wuaucpl.cpl.manifest
29.08.2006 01:00 21.740 emptyregdb.dat
25.08.2006 17:46 617.472 comctl32.dll
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 13:58 100.352 6to4svc.dll



systemtemp


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 243C-D89D

Verzeichnis von C:\DOKUME~1\Marc\LOKALE~1\Temp

20.10.2006 16:18 14 wnd.tmp
20.10.2006 16:17 12.678 dsidebar.log
20.10.2006 16:12 94 sidebar.threads
20.10.2006 16:12 0 dsidebar.crash
20.10.2006 16:12 16.384 Perflib_Perfdata_678.dat
20.10.2006 16:00 416 java_install_reg.log
20.10.2006 15:18 24.744 SIntfNT.dll
20.10.2006 15:18 20.016 SIntf32.dll
20.10.2006 15:18 12.305 SIntf16.dll
9 Datei(en) 86.651 Bytes
0 Verzeichnis(se), 91.694.247.936 Bytes frei



windows


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 243C-D89D

Verzeichnis von C:\WINDOWS

20.10.2006 16:12 0 0.log
20.10.2006 16:12 159 wiadebug.log
20.10.2006 16:12 2.065.953 WindowsUpdate.log
20.10.2006 16:12 50 wiaservc.log
20.10.2006 16:11 2.048 bootstat.dat
20.10.2006 16:10 32.548 SchedLgU.Txt
20.10.2006 14:00 120 setupact.log
19.10.2006 09:21 18.286 setupapi.log
18.10.2006 23:33 116 NeroDigital.ini
18.10.2006 20:26 0 setuperr.log
16.10.2006 15:04 642 win.ini
13.10.2006 12:59 642 win.tmp
13.10.2006 12:59 227 system.tmp
13.10.2006 12:59 227 system.ini
12.10.2006 00:54 3.162.278 {00000001-00000000-00000001-00001102-00000004-00511102}.CDF
05.10.2006 14:16 3.630 mozver.dat
05.10.2006 14:14 164 WININIT.INI
25.09.2006 08:23 0 Irremote.ini
21.09.2006 18:08 2.560 _MSRSTRT.EXE
15.09.2006 08:47 4.096 d3dx.dat
14.09.2006 11:03 291 msfsetup.ini
01.09.2006 18:57 387 RTacDbg.txt
01.09.2006 15:50 1.437.987 setupapi.log.0.old
31.08.2006 18:19 237 RomeTW.ini
31.08.2006 18:03 316.640 WMSysPr9.prx
30.08.2006 19:07 737.280 iun6002.exe
30.08.2006 16:46 451.072 Radeon Omega Drivers v3.8.273 Uninstall.exe
30.08.2006 13:13 0 AS_Debug.txt
30.08.2006 13:13 27.747 Ascd_tmp.ini
30.08.2006 07:11 400 ODBC.INI
29.08.2006 19:17 0 nsreg.dat
29.08.2006 16:51 27.763 Ascd_log.ini
29.08.2006 16:48 420 setup.iss
29.08.2006 01:58 0 Sti_Trace.log
29.08.2006 01:03 8.192 REGLOCS.OLD
29.08.2006 01:01 0 control.ini
29.08.2006 01:01 299.552 WMSysPrx.prx
29.08.2006 01:01 4.161 ODBCINST.INI
29.08.2006 01:01 749 WindowsShell.Manifest
29.08.2006 01:00 36 vb.ini
29.08.2006 01:00 37 vbaddin.ini
11.08.2006 14:56 35.840 READREG.EXE
11.08.2006 14:56 34.304 PSCONV.EXE
11.08.2006 14:56 17.920 CTHELPER.EXE
11.08.2006 14:55 10.240 CTDCRES.DLL
11.08.2006 14:42 25.600 MIDIDEF.EXE


temp


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 243C-D89D

Verzeichnis von C:\WINDOWS\Temp

20.10.2006 16:17 0 win33.tmp
20.10.2006 16:17 0 win35.tmp
20.10.2006 16:17 0 win36.tmp
20.10.2006 16:17 0 win34.tmp
20.10.2006 16:15 0 win30.tmp
20.10.2006 16:15 0 win2C.tmp
20.10.2006 16:15 0 win2F.tmp
20.10.2006 16:15 0 win2E.tmp
20.10.2006 16:13 0 win28.tmp
20.10.2006 16:13 0 win26.tmp
20.10.2006 16:13 0 win25.tmp
20.10.2006 16:13 0 win27.tmp
20.10.2006 16:12 409 WGANotify.settings
20.10.2006 16:12 255 WGAErrLog.txt
20.10.2006 16:11 0 win3.tmp
20.10.2006 16:11 0 win4.tmp
20.10.2006 16:11 0 win5.tmp
20.10.2006 16:11 0 win2.tmp
20.10.2006 16:09 0 win1CF.tmp
20.10.2006 16:09 0 win1CE.tmp
20.10.2006 16:09 0 win1CD.tmp
20.10.2006 16:07 0 win1CA.tmp
20.10.2006 16:07 0 win1CC.tmp
20.10.2006 16:07 0 win1CB.tmp
20.10.2006 16:05 0 win1C9.tmp
20.10.2006 16:05 0 win1C8.tmp
20.10.2006 16:05 0 win1C7.tmp
20.10.2006 16:03 0 win1C4.tmp
20.10.2006 16:03 0 win1C6.tmp
20.10.2006 16:03 0 win1C5.tmp
20.10.2006 16:01 0 win1BA.tmp
20.10.2006 16:01 0 win1B9.tmp
20.10.2006 16:01 0 win1BB.tmp
20.10.2006 15:59 0 win1AF.tmp
20.10.2006 15:59 0 win1AE.tmp
20.10.2006 15:59 0 win1AD.tmp
20.10.2006 15:57 0 win19F.tmp
20.10.2006 15:57 0 win19E.tmp
20.10.2006 15:57 0 win19D.tmp
20.10.2006 15:55 0 win18F.tmp
20.10.2006 15:55 0 win18E.tmp
20.10.2006 15:55 0 win18D.tmp
20.10.2006 15:53 0 win16D.tmp
20.10.2006 15:53 0 win16F.tmp
20.10.2006 15:53 0 win16E.tmp
20.10.2006 15:51 0 win15A.tmp
20.10.2006 15:51 0 win159.tmp
20.10.2006 15:51 0 win15C.tmp
20.10.2006 15:51 0 win15B.tmp
20.10.2006 15:49 0 win140.tmp
20.10.2006 15:49 0 win13F.tmp
20.10.2006 15:49 0 win141.tmp
20.10.2006 15:47 0 win132.tmp
20.10.2006 15:47 0 win133.tmp
20.10.2006 15:47 0 win134.tmp
20.10.2006 15:45 0 win120.tmp
20.10.2006 15:45 0 win122.tmp
20.10.2006 15:45 0 win121.tmp
20.10.2006 15:43 0 win113.tmp
20.10.2006 15:43 0 win112.tmp
20.10.2006 15:43 0 win111.tmp
20.10.2006 15:41 0 winFC.tmp
20.10.2006 15:41 0 winFB.tmp
20.10.2006 15:41 0 winFD.tmp
20.10.2006 15:39 0 winEE.tmp
20.10.2006 15:39 0 winED.tmp
20.10.2006 15:39 0 winEC.tmp
20.10.2006 15:37 0 winE9.tmp
20.10.2006 15:37 0 winEA.tmp
20.10.2006 15:37 0 winEB.tmp
20.10.2006 15:35 0 winE7.tmp
20.10.2006 15:35 0 winE8.tmp
20.10.2006 15:35 0 winE6.tmp
20.10.2006 15:33 0 winE5.tmp
20.10.2006 15:33 0 winE3.tmp
20.10.2006 15:33 0 winE4.tmp
20.10.2006 15:31 0 winE0.tmp
20.10.2006 15:31 0 winE1.tmp
20.10.2006 15:31 0 winE2.tmp
20.10.2006 15:31 0 winDF.tmp
20.10.2006 15:29 0 winDD.tmp
20.10.2006 15:29 0 winDC.tmp
20.10.2006 15:29 0 winDE.tmp
20.10.2006 15:27 0 winDA.tmp
20.10.2006 15:27 0 winD9.tmp
20.10.2006 15:27 0 winDB.tmp
20.10.2006 15:25 0 winD8.tmp
20.10.2006 15:25 0 winD7.tmp
20.10.2006 15:25 0 winD6.tmp
20.10.2006 15:23 0 winD4.tmp
20.10.2006 15:23 0 winD3.tmp
20.10.2006 15:23 0 winD5.tmp
20.10.2006 15:21 0 winD1.tmp
20.10.2006 15:21 0 winD0.tmp
20.10.2006 15:21 0 winD2.tmp
20.10.2006 15:19 0 winCF.tmp
20.10.2006 15:19 0 winCE.tmp
20.10.2006 15:19 0 winCD.tmp
20.10.2006 15:17 0 winC0.tmp
20.10.2006 15:17 0 winC1.tmp
20.10.2006 15:17 0 winC2.tmp
20.10.2006 15:15 0 winBE.tmp
20.10.2006 15:15 0 winBF.tmp
20.10.2006 15:15 0 winBD.tmp
20.10.2006 15:13 0 winBB.tmp
20.10.2006 15:13 0 winBA.tmp
20.10.2006 15:13 0 winBC.tmp
20.10.2006 15:11 0 winB2.tmp
20.10.2006 15:11 0 winB1.tmp
20.10.2006 15:11 0 winB0.tmp
20.10.2006 15:11 0 winAF.tmp
20.10.2006 15:09 0 winAD.tmp
20.10.2006 15:09 0 winAC.tmp
20.10.2006 15:09 0 winAE.tmp
20.10.2006 15:07 0 winAB.tmp
20.10.2006 15:07 0 winAA.tmp
20.10.2006 15:07 0 winA9.tmp
20.10.2006 15:05 0 winA8.tmp
20.10.2006 15:05 0 winA7.tmp
20.10.2006 15:05 0 winA6.tmp
20.10.2006 15:03 0 winA4.tmp
20.10.2006 15:03 0 winA3.tmp
20.10.2006 15:03 0 winA5.tmp
20.10.2006 15:01 0 winA0.tmp
20.10.2006 15:01 0 win9F.tmp
20.10.2006 15:01 0 win9E.tmp
20.10.2006 14:59 0 win9C.tmp
20.10.2006 14:59 0 win9B.tmp
20.10.2006 14:59 0 win9D.tmp
20.10.2006 14:57 0 win98.tmp
20.10.2006 14:57 0 win99.tmp
20.10.2006 14:57 0 win9A.tmp
20.10.2006 14:51 0 win8C.tmp
20.10.2006 14:31 0 win2D.tmp
20.10.2006 14:11 0 winE.tmp
20.10.2006 14:09 0 win9.tmp
20.10.2006 14:07 0 win8.tmp
20.10.2006 14:05 0 win7.tmp
20.10.2006 14:03 0 win1.tmp
20.10.2006 14:01 0 win1F3.tmp
140 Datei(en) 664 Bytes
0 Verzeichnis(se), 91.694.284.800 Bytes frei



Downloaded Program Files


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 243C-D89D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.2006 01:00 224 zdone.dat
14.10.2006 01:00 32 virscant.dat
14.10.2006 01:00 3.740.187 virscan9.dat
14.10.2006 01:00 1.612.167 virscan8.dat
14.10.2006 01:00 4.696.458 virscan7.dat
14.10.2006 01:00 389.515 virscan6.dat
14.10.2006 01:00 2.816.341 virscan5.dat
14.10.2006 01:00 2.504 catalog.dat
14.10.2006 01:00 320.186 virscan4.dat
14.10.2006 01:00 146.720 virscan3.dat
14.10.2006 01:00 569.778 virscan2.dat
14.10.2006 01:00 969.557 virscan1.dat
14.10.2006 01:00 106.244 virscan.inf
14.10.2006 01:00 2.261 v.sig
14.10.2006 01:00 6.899 ecbootil.vxd
14.10.2006 01:00 4.778 v.grd
14.10.2006 01:00 272.040 ecmsvr32.dll
14.10.2006 01:00 3.027 tscan1hd.dat
14.10.2006 01:00 59.709 tscan1.dat
14.10.2006 01:00 1.957 tinfl.dat
14.10.2006 01:00 148 tinfidx.dat
14.10.2006 01:00 453 tinf.dat
14.10.2006 01:00 682.088 tcscan9.dat
14.10.2006 01:00 318.774 tcscan8.dat
14.10.2006 01:00 1.017.064 tcscan7.dat
14.10.2006 01:00 186.225 tcdefs.dat
14.10.2006 01:00 124.584 naveng32.dll
14.10.2006 01:00 882.344 navex32a.dll
14.10.2006 01:00 1.061 symaveng.inf
14.10.2006 01:00 97.552 scrauth.dat
14.10.2006 01:00 14 symaveng.cat
02.09.2006 15:48 941.056 asquared.ocx
29.08.2006 01:01 65 desktop.ini
11.08.2006 09:40 523 CTSUEng.inf
11.08.2006 09:36 225.280 CTSUEng.ocx
10.08.2006 18:07 38.608 CTPID.ocx
10.08.2006 17:58 516 CTPID.inf



C

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 243C-D89D

Verzeichnis von C:\

20.10.2006 16:19 0 sys.txt
20.10.2006 16:19 3.129 down.txt
20.10.2006 16:18 6.849 tmp.txt
20.10.2006 16:18 4.945 system.txt
20.10.2006 16:18 703 systemtemp.txt
20.10.2006 16:17 112.634 system32.txt
20.10.2006 16:11 1.610.612.736 pagefile.sys
20.10.2006 13:59 28.020 ComboFix.txt
13.10.2006 12:59 211 boot.ini
29.08.2006 22:21 211 BOOT.BKK
29.08.2006 17:47 47.564 NTDETECT.COM
29.08.2006 17:47 251.184 ntldr
29.08.2006 01:01 0 CONFIG.SYS
29.08.2006 01:01 0 MSDOS.SYS
29.08.2006 01:01 0 IO.SYS
29.08.2006 01:01 0 AUTOEXEC.BAT
18.08.2001 14:00 4.952 bootfont.bin
17 Datei(en) 1.611.073.138 Bytes
0 Verzeichnis(se), 91.694.247.936 Bytes frei

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvvu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmxw32

Files to delete:
C:\WINDOWS\TEMP\win281.tmp.exe
C:\WINDOWS\system32\uvvwa.ini2
C:\WINDOWS\system32\uvvwa.ini
C:\WINDOWS\system32\uvvwa.tmp
C:\WINDOWS\system32\awvvu.dll
C:\WINDOWS\system32\winmxw32.dll

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Danke für die Antwort Sabina,

habe alles gemacht. hoffe, dass mein system nun wieder sauber ist

eine Frage noch zur Datenträgerbereinigung:

ich habe 4 partitionen, auf C:\ ist windows installiert. reicht es, wenn ich nur auf C:\ die datenträgerbereinigung mache?

Gruss
Matzo

#6 Hallo Forumsmitglieder!

Habe ebenfalls ein Problem mit einem Programm, welches andauernd Dateien mit Namen iddXXX.tmp.exe sowie winXXX.tmp.exe erzeugt.
Weiters erscheint trotz aktueller Software von Norton Internet Security andauernd ein kleines Fenster mit dem Titel Dialer in welchem auf italienisch so etwas wie – Verbindung nicht möglich, Programm wird beendet! – steht.
Weiters ist mir aufgefallen, dass selbiges Programm auch neue Internetverbindungen einrichtet mit Namen Dialer sowie CoolWeb.
Alle Versuche obige Dateien bzw. Verbindungen zu löschen haben keine Erfolge gebracht.
Auch nicht Adaware und Spybot.

Ich habe im Forum ebenfalls schon mehrere Threads zu diesem Thema gefunden und schon folgendes gemacht:

1. hijack this file erstellt
2. Cleanup durchgeführt
3. datfind Textdateien erstellt
4. Combofix durchgeführt

Wäre nett, wenn mir jemand bei meinem Problem behilflich sein könnte.

Hier meine Daten

hijack this

Logfile of HijackThis v1.99.1
Scan saved at 15:58:29, on 20.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WinTV\Ir.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\TEMP\winC61.tmp.exe
C:\Dokumente und Einstellungen\Udo Jeglitsch\Eigene Dateien\Meine empfangenen Dateien\hijackthis\HijackThis.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe





Combofix

Udo Jeglitsch - 06-10-20 16:13:09,26 Service Pack 2
ComboFix 06.10.16 - Running from: "C:\Dokumente und Einstellungen\Udo Jeglitsch\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ismini.exe
C:\Programme\Gemeinsame Dateien\{3473AE74-0C8F-1031-0103-050917030031}
C:\Programme\Gemeinsame Dateien\{8473AE74-0C8F-1031-0103-050917030031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-20 to 2006-10-20 ))))))))))))))))))))))))))))))))))


2006-10-18 21:35 19,456 --a------ C:\WINDOWS\system32\cool.exe
2006-10-11 21:47 713 ---hs---- C:\WINDOWS\system32\efhkj.ini2
2006-10-10 19:32 684,084 ---hs---- C:\WINDOWS\system32\jkhfe.dll
2006-10-09 21:21 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2006-10-09 20:01 18,432 --a------ C:\WINDOWS\system32\winepi32.dll
2006-09-24 14:06 157,184 -ra------ C:\WINDOWS\system32\RTLCPAPI.dll
2006-09-24 14:06 10,459,136 -ra------ C:\WINDOWS\system32\RTLCPL.EXE
2006-09-23 18:00 32,768 --a------ C:\WINDOWS\system32\drivers\sisnic.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-20 16:14 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-20 16:02 -------- d-------- C:\Programme\CleanUp!
2006-10-18 21:14 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-17 21:46 -------- d-------- C:\Programme\Norton Internet Security
2006-10-11 23:57 -------- d-------- C:\Dokumente und Einstellungen\Udo Jeglitsch\Anwendungsdaten\CDZilla
2006-10-11 23:56 1386496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2006-10-11 23:56 -------- d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2006-10-11 23:56 -------- d-------- C:\Dokumente und Einstellungen\Udo Jeglitsch\Anwendungsdaten\Mozilla
2006-10-11 23:08 -------- d-------- C:\Dokumente und Einstellungen\Udo Jeglitsch\Anwendungsdaten\Symantec
2006-10-10 19:57 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-24 15:18 -------- d-------- C:\Programme\Symantec
2006-09-23 18:42 -------- d-------- C:\Programme\Messenger
2006-09-23 18:36 -------- d-------- C:\Programme\Outlook Express
2006-09-23 18:33 -------- d-------- C:\Programme\Internet Explorer
2006-09-23 18:22 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-23 18:16 -------- d-------- C:\Programme\Windows Media Player
2006-09-15 22:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 22:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Wizard"=hex(2):00
"FirstSteps"=hex(2):00
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NAV_Update"=hex(2):43,3a,5c,4e,41,56,5f,55,70,64,61,74,65,2e,65,78,65,00
"REGSHAVE"="C:\\Programme\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"SpyHunter"=""
"atwtusb"="atwtusb.exe beta"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"SoundMan"="SOUNDMAN.EXE"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec Network Driver Update Warning"="C:\\PROGRA~1\\Symantec\\LIVEUP~1\\SNDWarn.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Symantec Network Driver Update Warning"="C:\\PROGRA~1\\Symantec\\LIVEUP~1\\SNDWarn.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhfe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winepi32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - a - Udo Jeglitsch.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen - Udo Jeglitsch.job

Completion time: 06-10-20 16:14:59.59
C:\ComboFix.txt ... 06-10-20 16:14






Datfindbat

System32:

Datentr„ger in Laufwerk C: ist HARDDISK
Volumeseriennummer: 8473-AE74

Verzeichnis von C:\WINDOWS\system32

20.10.2006 16:18 713 efhkj.ini2
20.10.2006 15:06 1.158 wpa.dbl
18.10.2006 21:35 19.456 cool.exe
15.10.2006 12:53 143 mcrh.tmp
11.10.2006 23:56 1.386.496 msvbvm60.dll
11.10.2006 21:48 455 efhkj.ini
11.10.2006 21:47 1.435 efhkj.tmp
10.10.2006 19:32 684.084 jkhfe.dll
09.10.2006 20:01 18.432 winepi32.dll
23.09.2006 22:16 384.596 perfh009.dat
23.09.2006 22:16 54.280 perfc009.dat
23.09.2006 22:16 396.012 perfh007.dat
23.09.2006 22:16 65.470 perfc007.dat
23.09.2006 22:16 911.074 PerfStringBackup.INI
23.09.2006 18:45 332.280 FNTCACHE.DAT
23.09.2006 18:16 16.832 amcompat.tlb
23.09.2006 18:16 23.392 nscompat.tlb
15.09.2006 22:52 91.904 S32EVNT1.DLL
03.08.2006 17:34 466.944 capicom.dll
28.04.2006 21:36 21.840 SIntfNT.dll
28.04.2006 21:36 17.212 SIntf32.dll
28.04.2006 21:36 12.067 SIntf16.dll



Systemp

Datentr„ger in Laufwerk C: ist HARDDISK
Volumeseriennummer: 8473-AE74

Verzeichnis von C:\DOKUME~1\UDOJEG~1\LOKALE~1\Temp




Windows



Datentr„ger in Laufwerk C: ist HARDDISK
Volumeseriennummer: 8473-AE74

Verzeichnis von C:\WINDOWS

20.10.2006 16:07 5.888 ModemLog_Samsung GPRS MODEM.txt
20.10.2006 16:06 159 wiadebug.log
20.10.2006 16:06 1.631.034 WindowsUpdate.log
20.10.2006 16:06 50 wiaservc.log
20.10.2006 16:06 0 0.log
20.10.2006 16:06 2.048 bootstat.dat
20.10.2006 16:05 32.590 SchedLgU.Txt
20.10.2006 15:26 155 winamp.ini
18.10.2006 22:55 940.122 ntbtlog.txt
18.10.2006 20:06 3.906 ModemLog_MicroLink 56k Internet c PnP.txt
15.10.2006 11:36 806.385 setupapi.log
14.10.2006 14:02 226.215 setupact.log
09.10.2006 21:17 13.324 wizard.log
08.10.2006 19:50 13.432 wizard.log_20061009_21_17_08
05.10.2006 13:49 13.526 wizard.log_20061008_19_50_26
03.10.2006 19:34 116.768 wmsetup.log
03.10.2006 19:34 237 wmsetup10.log
02.10.2006 20:20 33.832 LUINSTALL.LOG
24.09.2006 14:31 14.075 wizard.log_20061005_13_49_09
23.09.2006 19:00 13.558 wizard.log_20060924_14_31_28
23.09.2006 18:44 2.898 COM+.log
23.09.2006 18:41 1.374 imsins.log
23.09.2006 18:41 217.260 comsetup.log
23.09.2006 18:41 262.539 tsoc.log
23.09.2006 18:41 30.678 ocmsn.log
23.09.2006 18:41 132.925 ntdtcsetup.log
23.09.2006 18:41 100.582 iis6.log
23.09.2006 18:41 33.769 KB907865.log
23.09.2006 18:41 351.527 ocgen.log
23.09.2006 18:41 33.280 msgsocm.log
23.09.2006 18:41 667.774 FaxSetup.log
23.09.2006 18:41 14.862 updspapi.log
23.09.2006 18:41 1.374 imsins.BAK
23.09.2006 18:41 33.576 KB906569.log
23.09.2006 18:40 35.676 KB905749.log
23.09.2006 18:40 35.371 KB905414.log
23.09.2006 18:39 34.475 KB904706.log
23.09.2006 18:39 33.086 KB904412.log
23.09.2006 18:38 32.341 KB903234.log
23.09.2006 18:38 36.138 KB902400.log
23.09.2006 18:37 25.710 KB901214.log
23.09.2006 18:37 24.896 KB901017.log
23.09.2006 18:36 24.809 KB900930.log
23.09.2006 18:36 26.618 KB900725.log
23.09.2006 18:35 24.204 KB899591.log
23.09.2006 18:35 23.812 KB899589.log
23.09.2006 18:34 24.185 KB899587.log
23.09.2006 18:34 23.376 KB897663.log
23.09.2006 18:33 25.597 KB896688.log
23.09.2006 18:33 18.120 KB896626.log
23.09.2006 18:32 20.001 KB896428.log
23.09.2006 18:32 20.516 KB896423.log
23.09.2006 18:31 19.667 KB896422.log
23.09.2006 18:31 19.898 KB896358.log
23.09.2006 18:31 20.093 KB893756.log
23.09.2006 18:30 17.730 KB893357.log
23.09.2006 18:30 15.509 KB893066.log
23.09.2006 18:29 14.536 KB893056.log
23.09.2006 18:29 29.923 KB890046.log
23.09.2006 18:29 13.422 KB892627.log
23.09.2006 18:28 13.914 KB892050.log
23.09.2006 18:28 14.967 KB891781.log
23.09.2006 18:27 13.956 KB891122.log
23.09.2006 18:27 17.554 KB890859.log
23.09.2006 18:27 12.178 KB890831.log
23.09.2006 18:26 11.372 KB889673.log
23.09.2006 18:25 11.956 KB889527.log
23.09.2006 18:25 11.025 KB889016.log
23.09.2006 18:25 18.821 KB888656.log
23.09.2006 18:24 11.274 KB888402.log
23.09.2006 18:24 12.230 KB888302.log
23.09.2006 18:23 12.002 KB888113.log
23.09.2006 18:23 11.256 KB888111.log
23.09.2006 18:22 12.240 KB887797.log
23.09.2006 18:22 11.904 KB887742.log
23.09.2006 18:21 11.415 KB886716.log
23.09.2006 18:21 9.775 KB886677.log
23.09.2006 18:21 10.984 KB885894.log
23.09.2006 18:20 8.351 KB885855.log
23.09.2006 18:20 16.691 KB885835.log
23.09.2006 18:19 9.885 KB885523.log
23.09.2006 18:19 8.875 KB885250.log
23.09.2006 18:19 8.011 KB884883.log
23.09.2006 18:18 6.659 KB884868.log
23.09.2006 18:18 6.720 KB884575.log
23.09.2006 18:17 6.331 KB884018.log
23.09.2006 18:17 5.838 KB883667.log
23.09.2006 18:17 5.307 KB883529.log
23.09.2006 18:16 1.075 win.ini
23.09.2006 18:15 316.640 WMSysPr9.prx
02.07.2006 00:01 3.597 aiptbl.ini
04.04.2006 21:41 400 ODBC.INI
11.01.2006 22:17 374 capture.ini



Temp


Datentr„ger in Laufwerk C: ist HARDDISK
Volumeseriennummer: 8473-AE74

Verzeichnis von C:\WINDOWS\Temp

20.10.2006 16:18 0 win18.tmp
20.10.2006 16:18 0 win19.tmp
20.10.2006 16:18 0 win1A.tmp
20.10.2006 16:18 0 win17.tmp
4 Datei(en) 0 Bytes
0 Verzeichnis(se), 26.175.217.664 Bytes frei




Down


Datentr„ger in Laufwerk C: ist HARDDISK
Volumeseriennummer: 8473-AE74

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.12.2003 13:58 3.759 swflash.inf
18.10.2003 00:27 65 desktop.ini
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
4 Datei(en) 5.683 Bytes
0 Verzeichnis(se), 26.175.217.664 Bytes frei




C:/

Datentr„ger in Laufwerk C: ist HARDDISK
Volumeseriennummer: 8473-AE74

Verzeichnis von C:\

20.10.2006 16:23 0 sys.txt
20.10.2006 16:22 481 down.txt
20.10.2006 16:22 692 tmp.txt
20.10.2006 16:22 14.072 system.txt
20.10.2006 16:22 131 systemtemp.txt
20.10.2006 16:22 105.482 system32.txt
20.10.2006 16:16 7.544 ComboFix.txt
20.10.2006 16:14 7.809 ComboFix2.txt
20.10.2006 16:05 1.610.612.736 pagefile.sys
23.09.2006 18:29 251.712 ntldr
03.07.2006 21:29 495 stub.log
30.11.2005 21:24 211 boot.ini
30.11.2005 21:19 47.564 NTDETECT.COM
17.01.2004 14:47 3.450 LGSInst.Log
12.12.2003 19:31 1.399 Prodinfo.txt
12.12.2003 19:15 34 hcwclear.txt
02.12.2003 22:26 1.119 INSTALL.LOG
11.11.2003 21:27 44 ispInst.dat
11.11.2003 21:27 31 ispInfo.dat
11.11.2003 21:26 3 00.dat
18.10.2003 01:05 26 fastboot.txt
18.10.2003 01:05 451 _fsc_temp.log
18.10.2003 01:01 274 DRVlog.dat
18.10.2003 00:28 0 CONFIG.SYS
18.10.2003 00:28 0 IO.SYS
18.10.2003 00:28 0 AUTOEXEC.BAT
18.10.2003 00:28 0 MSDOS.SYS
02.07.2003 08:49 520.192 FirstSteps.exe
13.03.2003 12:37 32.768 NAV_Update.exe
11.11.2002 17:16 20.480 fastboot.exe
29.08.2002 14:00 4.952 bootfont.bin
18.08.2001 14:00 2 oem.tag
10.01.2001 13:23 162.304 UNWISE.EXE
33 Datei(en) 1.611.796.458 Bytes
0 Verzeichnis(se), 26.175.213.568 Bytes frei



Danke im Voraus für die Hilfe. :-)

#7 1.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msvbvm60.dll

poste den report

___________________________________________________________

**
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkhfe
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winepi32

Files to delete:
C:\WINDOWS\Temp\win18.tmp
C:\WINDOWS\Temp\win19.tmp
C:\WINDOWS\Temp\win1A.tmp
C:\WINDOWS\Temp\win17.tmp
C:\WINDOWS\Temp\win281.tmp.exe
C:\WINDOWS\system32\efhkj.ini2
C:\WINDOWS\system32\cool.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\efhkj.ini
C:\WINDOWS\system32\efhkj.tmp
C:\WINDOWS\system32\jkhfe.dll
C:\WINDOWS\system32\winepi32.dll

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#8 Gut, da es im anderen Thread (http://board.protecus.de/t26110.htm) keine Antworten gibt:

HijackThis - Logfile besagt folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 17:08:18, on 20.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\vshost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\TEMP\win9.tmp.exe
C:\WINDOWS\TEMP\iddA.tmp.exe
C:\Dokumente und Einstellungen\EdFandago\Eigene Dateien\PC\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{3496AFED-0BB0-1031-0212-040112060031}\MyToolBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{3496AFED-0BB0-1031-0212-040112060031}\MyToolBar.dll

O4 - HKLM\..\Run: [startupmanager] C:\WINDOWS\System32\vshost.exe

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Twin Cities.lnk = C:\Programme\Stardock\Object Desktop\DesktopX\Widgets\Twin Cities.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing)
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfbf27206/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: winuqw32 - C:\WINDOWS\SYSTEM32\winuqw32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Combofix:

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{2496AFED-0BB0-1031-0212-040112060031}
C:\Programme\Gemeinsame Dateien\{3496AFED-0BB0-1031-0212-040112060031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-20 to 2006-10-20 ))))))))))))))))))))))))))))))))))


2006-10-19 20:27 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-10-19 20:27 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-19 20:27 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-10-19 20:27 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-19 17:47 40,973 ---hs---- C:\WINDOWS\system32\mljkkhe.dll
2006-10-19 17:47 18,432 --a------ C:\WINDOWS\system32\winuqw32.dll
2006-10-19 13:49 1,170,223 --a------ C:\WINDOWS\system32\steam.exe
2006-10-19 12:55 44,544 --a------ C:\WINDOWS\nkit.dll
2006-10-19 12:55 1,123,328 --a------ C:\WINDOWS\myroot.exe
2006-10-19 12:54 1,123,328 --a------ C:\WINDOWS\system32\rootkit.exe
2006-10-19 12:49 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2006-10-19 12:46 4,567,863 ---hs---- C:\WINDOWS\system32\vshost.exe
2006-10-18 21:07 1,564,864 --a------ C:\WINDOWS\server.exe
2006-10-18 20:46 811,008 --a------ C:\WINDOWS\system32\NCTAudioCDGrabber2.dll
2006-10-18 20:46 643,072 --a------ C:\WINDOWS\system32\DVDProX2.dll
2006-10-18 20:46 315,392 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll
2006-10-18 20:46 11,520 --a------ C:\WINDOWS\system32\drivers\HHCDHelp.sys
2006-10-18 20:46 100,352 --a------ C:\WINDOWS\system32\drivers\vdrv8000.sys
2006-10-18 20:46 1,843,200 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2006-10-18 15:36 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-10-18 15:36 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2006-10-18 15:36 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2006-10-18 15:23 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-18 15:23 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-17 20:04 34,308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-10-17 13:38 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-10-13 18:29 102,400 --a------ C:\WINDOWS\system32\tsccvid.dll
2006-10-09 15:05 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-10-09 13:56 593,408 --a------ C:\WINDOWS\system32\h323msp.dll
2006-10-09 13:56 551,936 --a------ C:\WINDOWS\system32\rtcdll.dll
2006-10-09 13:56 442,880 --a------ C:\WINDOWS\system32\ipnathlp.dll
2006-10-07 16:55 1,003,008 --a------ C:\WINDOWS\system32\esent.dll
2006-10-07 15:01 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-10-05 20:33 89,088 --a------ C:\WINDOWS\system32\atl71.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-20 21:14 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-20 21:07 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-20 16:35 -------- d-------- C:\Programme\Gothic III
2006-10-20 15:14 -------- d-------- C:\Programme\CleanUp!
2006-10-20 14:51 -------- d-------- C:\Programme\CleanUp!(2)
2006-10-20 12:45 -------- d-------- C:\Programme\Webroot
2006-10-20 12:45 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Webroot
2006-10-19 19:10 -------- d-------- C:\Programme\Steam
2006-10-19 18:23 -------- d-------- C:\Programme\Valve
2006-10-19 13:31 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\uTorrent
2006-10-18 20:46 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-18 20:46 -------- d-------- C:\Programme\Virtual CD v8
2006-10-17 17:30 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Canon
2006-10-17 17:02 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Hamachi
2006-10-15 15:05 1702 --a------ C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\wklnhst.dat
2006-10-13 21:48 -------- d-------- C:\Programme\ThriXXX
2006-10-13 18:29 -------- d-------- C:\Programme\TechSmith
2006-10-12 23:42 -------- d-------- C:\Programme\IrfanView
2006-10-10 18:02 -------- d-------- C:\Programme\Ubisoft
2006-10-10 17:21 -------- d---s---- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Microsoft
2006-10-10 13:42 -------- d-------- C:\Programme\Eidos Interactive
2006-10-09 15:07 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\ArcSoft
2006-10-09 13:56 -------- d-------- C:\Programme\NetMeeting
2006-10-09 13:48 -------- d-------- C:\Programme\Windows Media Player
2006-10-09 13:40 -------- d-------- C:\Programme\Outlook Express
2006-10-09 13:40 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-08 17:04 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-08 17:03 -------- d-------- C:\Programme\EA GAMES
2006-10-08 14:38 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\POPWWPROFILES
2006-10-07 23:38 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Gearbox Software
2006-10-07 18:14 -------- d-------- C:\Programme\XviD
2006-10-06 15:44 163712 --a------ C:\WINDOWS\system32\drivers\vidstub.sys
2006-10-06 15:43 2947072 --a------ C:\WINDOWS\system32\logonuiX.exe
2006-10-06 13:47 -------- d-------- C:\Programme\WinCustomize
2006-10-06 13:29 13440 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-10-05 20:33 -------- d-------- C:\Programme\Gemeinsame Dateien\Stardock
2006-10-05 20:27 -------- d-------- C:\Programme\Stardock
2006-10-04 23:02 156672 --ahs---- C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
2006-10-02 15:03 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Macromedia
2006-10-02 12:24 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-02 12:18 -------- d-------- C:\Programme\id Software
2006-09-30 22:28 -------- d-------- C:\Programme\QuickSFV
2006-09-30 17:49 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\ATI
2006-09-30 17:41 -------- d-------- C:\Programme\ATI Technologies
2006-09-27 16:44 -------- d-------- C:\Programme\Total Video Converter
2006-09-27 16:23 -------- d-------- C:\Programme\Google
2006-09-27 16:17 -------- d-------- C:\Programme\Audacity
2006-09-25 19:23 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-09-25 14:57 -------- d-------- C:\Programme\Diablo II
2006-09-24 12:06 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Skype
2006-09-23 20:43 -------- d-------- C:\Programme\ICOO Loader
2006-09-19 15:27 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-09-19 15:27 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-09-19 15:27 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2006-09-18 16:33 -------- d-------- C:\Programme\TASpring
2006-09-16 20:17 -------- d-------- C:\Programme\WinRAR
2006-09-13 07:09 1110528 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 17:02 2829 --a------ C:\WINDOWS\DIIUnin.pif
2006-09-12 17:02 102400 --a------ C:\WINDOWS\DIIUnin.exe
2006-09-06 19:10 -------- d-------- C:\Programme\uTorrent
2006-08-30 12:00 -------- d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2006-08-28 20:05 -------- d-------- C:\Programme\MSN Messenger
2006-08-28 19:55 20480 --a------ C:\WINDOWS\system32\spr4.exe
2006-08-28 14:55 -------- d-------- C:\Programme\ICQLite
2006-08-28 14:55 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\ICQLite
2006-08-28 11:41 -------- d-------- C:\Programme\Starcraft
2006-08-28 11:20 -------- d-------- C:\Programme\Hamachi
2006-08-27 23:07 -------- d-------- C:\Programme\Winamp
2006-08-27 19:01 -------- d-------- C:\Programme\LimeWire
2006-08-27 18:51 -------- d-------- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\Kazaa Lite
2006-08-25 17:51 561664 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-25 11:14 612864 --a------ C:\WINDOWS\system32\xpsp2res.dll
2006-08-23 17:53 -------- d-------- C:\Programme\MAIET
2006-08-23 04:11 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2006-08-23 03:53 260096 --a------ C:\WINDOWS\system32\ati2dvag.dll
2006-08-23 03:53 1723904 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2006-08-23 03:47 114688 --a------ C:\WINDOWS\system32\atipdlxx.dll
2006-08-23 03:46 86016 --a------ C:\WINDOWS\system32\ati2evxx.dll
2006-08-23 03:46 77824 --a------ C:\WINDOWS\system32\Oemdspif.dll
2006-08-23 03:46 41984 --a------ C:\WINDOWS\system32\ati2edxx.dll
2006-08-23 03:46 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2006-08-23 03:45 413696 --a------ C:\WINDOWS\system32\ati2evxx.exe
2006-08-23 03:44 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2006-08-23 03:38 2401984 --a------ C:\WINDOWS\system32\ati3duag.dll
2006-08-23 03:33 303104 --a------ C:\WINDOWS\system32\ATIDEMGR.dll
2006-08-23 03:33 2510752 --a------ C:\WINDOWS\system32\ativvaxx.dll
2006-08-23 03:27 6684672 --a------ C:\WINDOWS\system32\atioglx1.dll
2006-08-23 03:24 5140480 --a------ C:\WINDOWS\system32\atioglxx.dll
2006-08-23 03:21 221184 --a------ C:\WINDOWS\system32\atikvmag.dll
2006-08-23 03:19 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2006-08-23 03:14 290816 --a------ C:\WINDOWS\system32\ati2cqag.dll
2006-08-22 21:05 520192 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-08-22 01:18 -------- dr-h----- C:\Dokumente und Einstellungen\EdFandago\Anwendungsdaten\SecuROM
2006-08-21 19:43 -------- d--h----- C:\Programme\Uninstall Information
2006-08-21 19:43 -------- d-------- C:\Programme\Internet Explorer
2006-08-16 14:15 95232 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-16 14:15 70656 --a------ C:\WINDOWS\system32\ws2_32.dll
2006-08-16 14:15 54272 --a------ C:\WINDOWS\system32\ipv6mon.dll
2006-08-16 14:15 31232 --a------ C:\WINDOWS\system32\inetmib1.dll
2006-08-16 14:15 13312 --a------ C:\WINDOWS\system32\wship6.dll
2006-08-16 14:10 85504 --a------ C:\WINDOWS\system32\netsh.exe
2006-08-16 14:10 48640 --a------ C:\WINDOWS\system32\ipv6.exe
2006-08-16 11:42 184320 --a------ C:\WINDOWS\system32\xpob2res.dll
2006-08-14 14:47 286720 --a------ C:\WINDOWS\iun506.exe
2006-08-06 01:53 88 -r-hs---- C:\WINDOWS\system32\0F9EAE61CF.sys
2006-08-06 01:53 3558 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2006-08-05 16:49 20992 --a------ C:\WINDOWS\jestertb.dll
2006-08-03 17:40 74752 --a------ C:\WINDOWS\ST6UNST.EXE
2006-08-03 17:40 253952 --------- C:\WINDOWS\Setup1.exe
2006-08-02 19:56 967 --a------ C:\WINDOWS\ScUnin.pif
2006-08-02 19:56 69632 --a------ C:\WINDOWS\ScUnin.exe
2006-08-02 16:22 61440 --a------ C:\WINDOWS\system32\qghumeay.dll
2006-07-29 21:27 729088 --a------ C:\WINDOWS\iun6002.exe
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"startupmanager"="C:\\WINDOWS\\System32\\vshost.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"Ghp`amfUbrhLds"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"Mn@iboddPubswLfov"=dword:00000000
"Mn@mlrf"=dword:00000000
"MnOndNeg"=dword:00000000
"MnQtm"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"UpdateManager"="C:\\Program Files\\Common Files\\Microsoft Shared\\Translat\\LicenseManager.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuqw32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\wrSpySweeperTrialSweep.job

Completion time: 06-10-20 21:14:16.20
C:\ComboFix.txt ... 06-10-20 21:14

#9 Hallo Sabina,

habe die Datei msvbvm60.dll von Virustotal überprüfen lassen,
hier das Resultat:

STATUS: FINISHEDComplete scanning result of "msvbvm60.dll", received in VirusTotal at 10.20.2006, 20:47:12 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.20.2006 no virus found
Authentium 4.93.8 10.20.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.20.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.20.2006 no virus found
DrWeb 4.33 10.20.2006 no virus found
eTrust-InoculateIT 23.73.30 10.20.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.20.2006 no virus found
Fortinet 2.82.0.0 10.20.2006 no virus found
F-Prot 3.16f 10.20.2006 no virus found
F-Prot4 4.2.1.29 10.19.2006 no virus found
Ikarus 0.2.65.0 10.20.2006 no virus found
Kaspersky 4.0.2.24 10.20.2006 no virus found
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.20.2006 no virus found
NOD32v2 1.1819 10.20.2006 no virus found
Norman 5.80.02 10.20.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.20.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.20.2006 no virus found


Aditional Information
File size: 1386496 bytes
MD5: f28eb5cbc3ca6d8c787f09f047d1f9c8
SHA1: 70db1fac822974bc9b636a984bcc1da2e67f8de5

Sieht aus als wäre diese Datei sauber.



Mit Avenger habe ich Dein Skript ausgeführt, alle angeführten Datein und auch registry keys sind entfernt.

Teile mir bitte mit, was als Nächstes noch zu tun ist.

MfG Udo

#10 Ed Fandago

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 udo1972

scanne mit vundofix - poste den report
http://virus-protect.org/artikel/tools/vundofixx.html

**
loesche das backup vom avenger unter C:\Avenger\backup.zip

**
scanne mit ewido (Online) und poste den report
http://virus-protect.org/artikel/tools/vundofixx.html
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Vielen Dank, Sabina
hier die geforderten Texte

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\system32

21.10.2006 13:44 250.300 offlog.txt
19.10.2006 18:42 230.454 webcam.bmp
19.10.2006 17:47 40.973 mljkkhe.dll
19.10.2006 17:47 18.432 winuqw32.dll
19.10.2006 13:54 396.730 perfh009.dat
19.10.2006 13:54 61.394 perfc009.dat
19.10.2006 13:54 410.808 perfh007.dat
19.10.2006 13:54 73.994 perfc007.dat
19.10.2006 13:54 949.998 PerfStringBackup.INI
19.10.2006 13:51 228 cs.txt
19.10.2006 13:51 1.170.223 steam.exe
19.10.2006 13:47 34.308 BASSMOD.dll
19.10.2006 12:55 1.123.328 rootkit.exe
19.10.2006 12:54 108.336 mswinsck.ocx
19.10.2006 12:54 4.567.863 vshost.exe
09.10.2006 16:09 306.808 FNTCACHE.DAT
06.10.2006 15:43 2.947.072 logonuiX.exe
04.10.2006 22:03 9.639.336 MRT.exe
25.09.2006 19:23 98.304 CmdLineExt.dll
19.09.2006 15:27 21.840 SIntfNT.dll
19.09.2006 15:27 17.212 SIntf32.dll
19.09.2006 15:27 12.067 SIntf16.dll
13.09.2006 07:09 1.110.528 msxml3.dll
11.09.2006 21:32 16.832 amcompat.tlb
11.09.2006 21:32 23.392 nscompat.tlb
04.09.2006 08:24 1.351.680 shdocvw.dll
04.09.2006 08:24 1.027.072 browseui.dll
31.08.2006 07:56 463.360 URLMON.DLL
29.08.2006 19:43 135.168 swreg.exe
28.08.2006 19:55 20.480 spr4.exe
25.08.2006 17:51 561.664 comctl32.dll
25.08.2006 11:14 612.864 xpsp2res.dll


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\DOKUME~1\EdFandago\LOKALE~1\Temp

21.10.2006 13:50 16.384 ~DF1807.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 40.625.061.888 Bytes frei



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\

21.10.2006 13:56 0 sys.txt
21.10.2006 13:56 924 down.txt
21.10.2006 13:55 275 tmp.txt
21.10.2006 13:55 14.903 system.txt
21.10.2006 13:55 283 systemtemp.txt
21.10.2006 13:54 100.101 system32.txt
21.10.2006 13:49 536.399.872 hiberfil.sys
21.10.2006 13:49 805.306.368 pagefile.sys
20.10.2006 21:14 14.860 ComboFix.txt
19.10.2006 20:28 1.486 rapport.txt
20.08.2006 01:00 431 INSTALL.LOG
16.08.2006 17:48 32 VDFS.DMP
11.08.2006 02:32 16 SYSBOOT.DAT
02.08.2006 15:44 5.111 TDSLCheck.txt
30.07.2006 22:50 49 corelapp.ini
28.07.2006 23:41 194 boot.ini



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS\Temp

21.10.2006 13:51 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 40.625.045.504 Bytes frei



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 2496-AFED

Verzeichnis von C:\WINDOWS

21.10.2006 13:51 0 0.log
21.10.2006 13:51 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
21.10.2006 13:51 1.588.762 WindowsUpdate.log
21.10.2006 13:51 159 wiadebug.log
21.10.2006 13:51 50 wiaservc.log
21.10.2006 13:49 2.048 bootstat.dat
21.10.2006 13:49 32.642 SchedLgU.Txt
20.10.2006 23:49 135 NeroDigital.ini
20.10.2006 14:43 51.733 plugin1.dat
20.10.2006 13:19 54.156 QTFont.qfn
20.10.2006 12:45 810 win.ini
19.10.2006 20:28 278.888 ntbtlog.txt
19.10.2006 20:28 227.131 setupact.log
19.10.2006 20:19 25.872 offlog.txt
19.10.2006 12:55 44.544 nkit.dll
19.10.2006 12:55 1.123.328 myroot.exe
19.10.2006 12:50 108.336 mswinsck.ocx
18.10.2006 20:47 2.461 hhdrvi.log
18.10.2006 20:47 491.532 setupapi.log
18.10.2006 15:36 395.084 DirectX.log
17.10.2006 00:11 8.752 svcpack.log
16.10.2006 12:32 86.325 iis6.log
16.10.2006 12:32 1.393 imsins.log
16.10.2006 12:32 217.349 tsoc.log
16.10.2006 12:32 189.873 comsetup.log
16.10.2006 12:32 114.255 ntdtcsetup.log
16.10.2006 12:32 26.774 KB924191.log
16.10.2006 12:32 19.416 ocmsn.log
16.10.2006 12:32 286.540 ocgen.log
16.10.2006 12:32 26.614 msgsocm.log
16.10.2006 12:32 554.008 FaxSetup.log
16.10.2006 12:32 45.294 updspapi.log
16.10.2006 12:32 1.393 imsins.BAK


(Es gibt nur 5 Texte, da einer lediglich Daten von 2005 hatte.)

#13 Ed Fandago

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html


C:\WINDOWS\server.exe
C:\WINDOWS\system32\spr4.exe - Generic.Kelvir.C1CC91CB (??)
C:\WINDOWS\system32\vshost.exe
C:\WINDOWS\myroot.exe
C:\WINDOWS\nkit.dll - Nuclear Rootkit (??)
C:\WINDOWS\system32\steam.exe
C:\WINDOWS\system32\rootkit.exe


poste die reporte
_______________________________________________________________

noch nicht ausfuehren - erst will ich die ergebnisse von virustotal sehn

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuqw32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32

Files to delete:
C:\WINDOWS\server.exe
C:\WINDOWS\system32\spr4.exe
C:\WINDOWS\system32\mljkkhe.dll
C:\WINDOWS\system32\winuqw32.dll
C:\WINDOWS\system32\cs.txt
C:\WINDOWS\system32\steam.exe
C:\WINDOWS\system32\rootkit.exe
C:\WINDOWS\system32\mswinsck.ocx
C:\WINDOWS\system32\vshost.exe
C:\WINDOWS\plugin1.dat
C:\WINDOWS\nkit.dll
C:\WINDOWS\myroot.exe
C:\WINDOWS\mswinsck.ocx
C:\WINDOWS\TEMP\win9.tmp.exe
C:\WINDOWS\TEMP\iddA.tmp.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\WINDOWS\system32\drivers\oreans32.sys

Folders to delete:
C:\Programme\Gemeinsame Dateien\{3496AFED-0BB0-1031-0212-040112060031}

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{3496AFED-0BB0-1031-0212-040112060031}\MyToolBar.dll

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{3496AFED-0BB0-1031-0212-040112060031}\MyToolBar.dll

O4 - HKLM\..\Run: [startupmanager] C:\WINDOWS\System32\vshost.exe

O20 - Winlogon Notify: winuqw32 - C:\WINDOWS\SYSTEM32\winuqw32.dll

PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Complete scanning result of "server.exe", received in VirusTotal at 10.21.2006, 18:27:37 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.21.2006 BDS/Bifrose.ZtB
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.21.2006 no virus found
DrWeb 4.33 10.21.2006 no virus found
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.20.2006 no virus found
Fortinet 2.82.0.0 10.21.2006 BDoor.CEP!tr.bdr
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.21.2006 no virus found
Kaspersky 4.0.2.24 10.21.2006 Backdoor.Win32.Bifrose.abc
McAfee 4878 10.20.2006 BackDoor-CEP.svr
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1821 10.21.2006 no virus found
Norman 5.90.23 10.20.2006 Bifrose.D
Panda 9.0.0.4 10.21.2006 Bck/Bifrose.ADG
TheHacker 6.0.1.102 10.20.2006 Backdoor/CEP
UNA 1.83 10.21.2006 no virus found
VBA32 3.11.1 10.20.2006 Backdoor.Win32.Bifrose.abc
VirusBuster 4.3.7:9 10.21.2006 no virus found

Aditional Information
File size: 1564864 bytes
MD5: 7eea0c2cc75353f40379e18ff736d6dc
SHA1: 838618225229e90af8983054e35a5c0f652606d4
packers: Themida



Complete scanning result of "steam.exe", received in VirusTotal at 10.21.2006, 18:34:10 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.21.2006 TR/PSW.Steam.F.1
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 Win32:Steam
AVG 386 10.20.2006 PSW.Generic2.DKG
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.21.2006 no virus found
DrWeb 4.33 10.21.2006 no virus found
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.20.2006 Trojan.Steam.f
Fortinet 2.82.0.0 10.21.2006 W32/Steam.F!tr.pws
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.21.2006 no virus found
Kaspersky 4.0.2.24 10.21.2006 Trojan-PSW.Win32.Steam.f
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1821 10.21.2006 Win32/PSW.Steam.F
Norman 5.80.02 10.20.2006 W32/Smalltroj.HTC
Panda 9.0.0.4 10.21.2006 Trj/Steam.E
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 Trojan/PSW.Steam.f
UNA 1.83 10.21.2006 Trojan.PSW.Win32.Steam.8042
VBA32 3.11.1 10.20.2006 Trojan-PSW.Win32.Steam.f
VirusBuster 4.3.7:9 10.21.2006 no virus found

Aditional Information
File size: 1170223 bytes
MD5: 1914fe92dbf20d9b599cef284ae86b96
SHA1: f7afd07210379cd2b43d02819a2d7d68f7df871d
packers: UPX
packers: UPX
packers: UPX, BINARYRES
packers: UPX


Complete scanning result of "rootkit.exe", received in VirusTotal at 10.21.2006, 18:35:53 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.21.2006 no virus found
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.21.2006 no virus found
DrWeb 4.33 10.21.2006 no virus found
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.20.2006 no virus found
Fortinet 2.82.0.0 10.21.2006 suspicious
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.21.2006 no virus found
Kaspersky 4.0.2.24 10.21.2006 no virus found
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1821 10.21.2006 no virus found
Norman 5.90.23 10.20.2006 no virus found
Panda 9.0.0.4 10.21.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.21.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.21.2006 no virus found

Aditional Information
File size: 1123328 bytes
MD5: eab8c56553a874ee1ed7dd5dc71e3125
SHA1: 314930a5eba65eb59cf4ee71a3d59dd93acfbb01
packers: Themida



Complete scanning result of "myroot.exe", received in VirusTotal at 10.21.2006, 19:33:54 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.21.2006 no virus found
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.21.2006 no virus found
DrWeb 4.33 10.21.2006 no virus found
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.21.2006 no virus found
Fortinet 2.82.0.0 10.21.2006 suspicious
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.21.2006 no virus found
Kaspersky 4.0.2.24 10.21.2006 no virus found
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1821 10.21.2006 no virus found
Norman 5.80.02 10.20.2006 no virus found
Panda 9.0.0.4 10.21.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.21.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.21.2006 no virus found

Aditional Information
File size: 1123328 bytes
MD5: eab8c56553a874ee1ed7dd5dc71e3125
SHA1: 314930a5eba65eb59cf4ee71a3d59dd93acfbb01
packers: Themida


Complete scanning result of "nkit.dll", received in VirusTotal at 10.21.2006, 20:02:57 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.21.2006 TR/RKit.Nuclear.0.A
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 Win32:Nucleroot-E
AVG 386 10.20.2006 no virus found
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 Backdoor.Nucleroot.a
ClamAV devel-20060426 10.21.2006 Trojan.Nuclear-12
DrWeb 4.33 10.21.2006 BackDoor.Nuclear.33
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 no virus found
Ewido 4.0 10.21.2006 Backdoor.Nucleroot.a
Fortinet 2.82.0.0 10.21.2006 HackerTool/NuclearRootkit.V1
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.21.2006 Backdoor.Win32.Nucleroot.A
Kaspersky 4.0.2.24 10.21.2006 Backdoor.Win32.Nucleroot.a
McAfee 4878 10.20.2006 BackDoor-CXP.dll
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1821 10.21.2006 Win32/Nucleroot.A
Norman 5.80.02 10.20.2006 W32/Nucleroot.A
Panda 9.0.0.4 10.21.2006 Bck/Nucleroot.B
Sophos 4.10.0 10.15.2006 Troj/RKNu-A
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.21.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.21.2006 no virus found

Aditional Information
File size: 44544 bytes
MD5: 700cf96778095a0ec7bf25e95ee4151f
SHA1: 5dacd8c3bd19da0d0336c9956b715b837520413c
packers: embedded



Complete scanning result of "spr4.exe", received in VirusTotal at 10.21.2006, 20:06:26 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.32 10.21.2006 HEUR/Malware
Authentium 4.93.8 10.21.2006 no virus found
Avast 4.7.892.0 10.20.2006 no virus found
AVG 386 10.20.2006 Worm/VB.ABU
BitDefender 7.2 10.21.2006 no virus found
CAT-QuickHeal 8.00 10.20.2006 no virus found
ClamAV devel-20060426 10.21.2006 no virus found
DrWeb 4.33 10.21.2006 no virus found
eTrust-InoculateIT 23.73.32 10.21.2006 no virus found
eTrust-Vet 30.3.3146 10.20.2006 Win32/Licat.A
Ewido 4.0 10.21.2006 no virus found
Fortinet 2.82.0.0 10.21.2006 no virus found
F-Prot 3.16f 10.21.2006 no virus found
F-Prot4 4.2.1.29 10.21.2006 no virus found
Ikarus 0.2.65.0 10.21.2006 no virus found
Kaspersky 4.0.2.24 10.21.2006 IM-Worm.Win32.VB.ai
McAfee 4878 10.20.2006 no virus found
Microsoft 1.1603 10.21.2006 no virus found
NOD32v2 1.1821 10.21.2006 no virus found
Norman 5.90.23 10.20.2006 W32/VBWorm.AFE
Panda 9.0.0.4 10.21.2006 no virus found
Sophos 4.10.0 10.15.2006 no virus found
TheHacker 6.0.1.102 10.20.2006 no virus found
UNA 1.83 10.21.2006 no virus found
VBA32 3.11.1 10.20.2006 no virus found
VirusBuster 4.3.7:9 10.21.2006 no virus found

Aditional Information
File size: 20480 bytes
MD5: 386da743d7134d0ea774ba0b308d4cb0
SHA1: 708457fbdba625e48847781cc5c7fd1a9550545e


Vshost ließ sich nicht scannen, mehrmals kam die Nachricht
Service is stopped in this moments. Scanning of your sample has not been finalized and results has been lost. If you wish to scan it, please send it again.

Auch wenn die Themida-Files nicht suspekt sind, würde ich sie lieber doch wegschaffen. ;)

#15 o.k. fuehre alles aus - mit AVG Anti-Spyware (ewido) brauchst du nicht zu scannen, der erkennt fast nichts....
dann mache einen Onlinescan mit kaspersky, der erkennt mehr von den Backdoors und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit