Home » Viren, Trojaner & Malware Forum » Warezov.dq beseitigen, aber wie? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Warezov.dq beseitigen, aber wie?

23.10.2006, 20:49

tomateee

...neu hier

Beiträge: 1

#1 Hi,
ein Kumpel von mir hat Warezov.dq aufm PC. Wir haben auch schon diverse Logs gemacht und nen Cleanup.

Hier die Logs:

HIJACKTHIS

Logfile of HijackThis v1.99.1
Scan saved at 20:39:17, on 23.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\RDSHOST.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MSNMES~1\msnmsgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\programme\voipcheapcom\voipcheapcom.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
C:\Programme\Messenger\Msmsgs.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpCtr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SiteAdvisor\4144\SiteAdv.exe
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NRGFFUNS\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oemxyz.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: (no name) - {61DDD76A-4415-4447-F161-0EBA9A6B6A9D} - C:\DOKUME~1\Frank\ANWEND~1\MOVEOB~1\Phone Soft.exe (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\4144\SiteAdv.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipCheapCom] "C:\programme\voipcheapcom\voipcheapcom.exe" -nosplash -minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.oemxyz.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143023708676
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA6A62C7-7698-4E88-B14B-C4D9E83E7331}: NameServer = 217.237.151.33 217.237.149.225
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\4144\SiteAdv.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Combofix

www.Frank - 06-10-23 20:15:36,81 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Frank\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-23 to 2006-10-23 ))))))))))))))))))))))))))))))))))

2006-10-23 14:41 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-10-22 15:09 53,248 --ah----- C:\WINDOWS\system32\brwprf32.dll
2006-10-22 15:09 49,152 --ah----- C:\WINDOWS\system32\confbrw.dll
2006-10-22 15:09 40,960 --ah----- C:\WINDOWS\system32\brwperf.exe
2006-10-22 15:09 352,256 --ah----- C:\WINDOWS\system32\brwmgr32.dll
2006-10-22 15:09 143,360 --ah----- C:\WINDOWS\system32\brwstat.dll
2006-10-19 08:55 9,216 --a------ C:\WINDOWS\system32\e1.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-10-23 19:58 -------- d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Skype
2006-10-23 14:41 -------- d-------- C:\Programme\Grisoft
2006-10-23 14:27 -------- d-------- C:\Programme\XoftSpySE
2006-10-23 14:27 -------- d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\SiteAdvisor
2006-10-23 12:05 -------- d-------- C:\Programme\SiteAdvisor
2006-10-14 10:01 -------- d-------- C:\Programme\MSXML 4.0
2006-09-29 14:21 -------- d-------- C:\Programme\Teledat
2006-09-21 09:20 -------- d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Google
2006-09-21 08:55 -------- d-------- C:\Programme\Google
2006-09-13 07:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 17:51 1245184 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-01 14:41 -------- d-------- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\Leadertech
2006-08-25 17:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 13:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-12 21:55 1557 --a--c--- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\AdobeDLM.log
2006-08-12 21:55 0 --a--c--- C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\dm.ini
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MessengerPlus3"="\"C:\\Programme\\Messenger Plus! 3\\MsgPlus.exe\" /WinStart"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"VoipCheapCom"="\"C:\\programme\\voipcheapcom\\voipcheapcom.exe\" -nosplash -minimized"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"msnmsgr"="\"C:\\PROGRA~1\\MSNMES~1\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SoundMan"="SOUNDMAN.EXE"
"VTTimer"="VTTimer.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"MessengerPlus3"="\"C:\\Programme\\Messenger Plus! 3\\MsgPlus.exe\""
"Acronis True Image Monitor"="\"C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe\""
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"ShStatEXE"="\"C:\\Programme\\Network Associates\\VirusScan\\SHSTAT.EXE\" /STANDALONE"
"McAfeeUpdaterUI"="\"C:\\Programme\\Network Associates\\Common Framework\\UpdaterUI.exe\" /StartedFromRunKey"
"Network Associates Error Reporting Service"="\"C:\\Programme\\Gemeinsame Dateien\\Network Associates\\TalkBack\\TBMon.exe\""
"MPFExe"="C:\\PROGRA~1\\McAfee.com\\PERSON~1\\MpfTray.exe"
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="http://us.i1.yimg.com/us.yimg.com/i/us/av/logo.gif"
"SubscribedURL"="http://us.i1.yimg.com/us.yimg.com/i/us/av/logo.gif"
"FriendlyName"=""
"Flags"=dword:00000001
"Position"=hex:2c,00,00,00,12,03,00,00,19,01,00,00,c7,00,00,00,4d,00,00,00,e8,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:01,00,00,00
"OriginalStateInfo"=hex:18,00,00,00,12,03,00,00,19,01,00,00,c7,00,00,00,4d,00,\
00,00,01,00,00,40
"RestoredStateInfo"=hex:14,6d,cc,00,41,c0,ac,74,68,fe,7f,07,68,de,cc,00,20,6d,\
cc,00,0a,3e,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 9.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Tray-Symbol.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0\\aoltray.exe -check"
"item"="AOL 9.0 Tray-Symbol"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\A4B8CD02919B457E.job
C:\WINDOWS\tasks\Check Updates for Windows Live Toolbar.job
C:\WINDOWS\tasks\XoftSpySE.job

Completion time: 06-10-23 20:16:17.23
C:\ComboFix.txt ... 06-10-23 20:16

datfind.bat

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 5409-268D

Verzeichnis von C:\

23.10.2006 20:29 0 sys.txt
23.10.2006 20:29 440 down.txt
23.10.2006 20:29 335 tmp.txt
23.10.2006 20:29 11.728 system.txt
23.10.2006 20:28 773 systemtemp.txt
23.10.2006 20:28 95.944 system32.txt
23.10.2006 20:19 9.922 ComboFix.txt
23.10.2006 17:08 211 boot.ini
23.10.2006 16:57 805.306.368 pagefile.sys
04.10.2006 09:23 668 datFind.bat
10.04.2006 09:33 4.516 TDSLCheck.txt
15.10.2004 14:56 47.564 NTDETECT.COM
15.10.2004 14:56 251.184 ntldr
26.04.2004 17:48 861 IPH.PH
26.04.2004 16:45 0 CONFIG.SYS
26.04.2004 16:45 0 IO.SYS
26.04.2004 16:45 0 MSDOS.SYS
26.04.2004 16:45 0 AUTOEXEC.BAT
02.04.2003 14:00 4.952 bootfont.bin
19 Datei(en) 805.735.466 Bytes
0 Verzeichnis(se), 36.666.155.008 Bytes frei

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 5409-268D

Verzeichnis von C:\DOKUME~1\Frank\LOKALE~1\Temp

23.10.2006 20:27 327 mpl20.tmp
23.10.2006 20:23 80.856 dat22.tmp
23.10.2006 20:22 851 TWAIN.LOG
23.10.2006 20:22 3 Twain001.Mtx
23.10.2006 20:22 156 Twunk001.MTX
23.10.2006 20:22 98.304 ~DFADD8.tmp
23.10.2006 20:21 0 Twunk002.MTX
23.10.2006 17:01 10.298 MPC1E.tmp
23.10.2006 17:01 10.298 MPC21.tmp
23.10.2006 17:01 10.298 MPCD.tmp
23.10.2006 16:58 98.304 ~DF46B9.tmp
11 Datei(en) 309.695 Bytes
0 Verzeichnis(se), 36.666.175.488 Bytes frei

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 5409-268D

Verzeichnis von C:\WINDOWS

23.10.2006 17:13 512 randseed.rnd
23.10.2006 17:08 674 win.ini
23.10.2006 17:08 227 system.ini
23.10.2006 17:00 0 0.log
23.10.2006 16:59 5.154 ModemLog_NetoDragon 56K Voice Modem.txt
23.10.2006 16:59 159 wiadebug.log
23.10.2006 16:59 1.141.601 WindowsUpdate.log
23.10.2006 16:59 50 wiaservc.log
23.10.2006 16:58 2.048 bootstat.dat
23.10.2006 16:57 32.544 SchedLgU.Txt
23.10.2006 15:21 196.906 ntbtlog.txt
23.10.2006 09:54 16 sserrvv.dat
23.10.2006 09:25 220.980 setupact.log
19.10.2006 10:30 116 NeroDigital.ini
19.10.2006 08:58 16 serrv.dat
13.10.2006 12:57 233.680 wmsetup.log
11.10.2006 18:05 106.695 iis6.log
11.10.2006 18:05 245.623 comsetup.log
11.10.2006 18:05 153.320 ntdtcsetup.log
11.10.2006 18:05 1.393 imsins.log
11.10.2006 18:05 271.100 tsoc.log
11.10.2006 18:05 35.802 ocmsn.log
11.10.2006 18:05 13.636 KB922819.log

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 5409-268D

Verzeichnis von C:\WINDOWS\Temp

23.10.2006 20:21 409 WGANotify.settings
23.10.2006 20:21 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 36.666.159.104 Bytes frei

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 5409-268D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.12.2005 11:55 5.101 swflash.inf
26.05.2005 05:19 291 wuweb.inf
26.04.2004 16:44 65 desktop.ini
25.08.2003 18:12 1.096 iuctl.inf
4 Datei(en) 6.553 Bytes
0 Verzeichnis(se), 36.666.159.104 Bytes frei

Symptome sind langsamer Boot etc. Unter C:Windows\system32\brwconf.exe wurde der Virus gefunden, konnte aber trotz abgesichterem Modus nicht beseitgt werden!

Bitte um schnelle hilfe und danke im Vorraus!

tomateee

P.S.: der datfindbat system32 log ist in der textdatei, da der zu lang gewesen wäre

Verzeichnis von C:\WINDOWS\system32

23.10.2006 20:21 96.320 Status.MPF
23.10.2006 20:21 12.708 wpa.dbl
22.10.2006 15:09 143.360 brwstat.dll
22.10.2006 15:09 53.248 brwprf32.dll
22.10.2006 15:09 49.152 confbrw.dll
22.10.2006 15:09 352.256 brwmgr32.dll
22.10.2006 15:09 40.960 brwperf.exe
19.10.2006 08:55 9.216 e1.dll

«

Anhang: system32.txt

Dieser Beitrag wurde am 23.10.2006 um 20:56 Uhr von tomateee editiert.

24.10.2006, 01:25

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr

Files to delete:
C:\WINDOWS\system32\brwstat.dll
C:\WINDOWS\system32\brwprf32.dll
C:\WINDOWS\system32\confbrw.dll
C:\WINDOWS\system32\brwmgr32.dll
C:\WINDOWS\system32\brwperf.exe
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\sserrvv.dat
C:\WINDOWS\serrv.dat
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\mpl20.tmp
C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\dat22.tmp

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip

««
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

««
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktvieren)

___________

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {61DDD76A-4415-4447-F161-0EBA9A6B6A9D} - C:\DOKUME~1\Frank\ANWEND~1\MOVEOB~1\Phone Soft.exe (file missing)

PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/nolop.html
__________
MfG Sabina

rund um die PC-Sicherheit

28.10.2006, 15:56

swifffer

Member

Beiträge: 41

#3 habe das gleiche problem stehe aber vor einem anderen punkt:

avenger.exe lässt sich nicht öffnen ich kann also den entscheidenden punkt nicht ausführen. kann mir jmd helfen ?

28.10.2006, 16:20

Sabina

Ehrenmitglied

Beiträge: 29434

#4 swifffer

vielleicht schaue ich erst mal nach, was los ist

poste die logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

29.10.2006, 20:05

swifffer

Member

Beiträge: 41

#5 hijack:
Logfile of HijackThis v1.99.1
Scan saved at 19:59:49, on 29.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\soundman.exe
E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Winamp\winampa.exe
E:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Winamp\winamp.exe
E:\opera\opera.exe
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\hijackthis_199\HijackThis.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [audiag] C:\WINDOWS\System32\audconf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O20 - Winlogon Notify: audmgr - audmgr32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\ipod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

combofix:
Dr.SwifT - 06-10-29 20:00:59,83 Service Pack 1
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Dr.SwifT\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-29 to 2006-10-29 ))))))))))))))))))))))))))))))))))

2006-10-28 14:40 143,360 --ah----- C:\WINDOWS\system32\audstat.dll
2006-10-28 10:39 53,248 --ah----- C:\WINDOWS\system32\confaud.dll
2006-10-20 14:04 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-10-20 14:04 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-10-20 14:04 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-10-17 19:32 0 --a------ C:\WINDOWS\hv4e05.dll
2006-10-17 19:25 1,880,639 --a------ C:\WINDOWS\md2icut9a2.dll
2006-10-15 14:57 1,880,639 --a------ C:\WINDOWS\kheu93.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-10-20 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-23 23:32 -------- d-------- C:\Programme\Gemeinsame Dateien\element5 Shared
2006-09-23 23:32 -------- d-------- C:\Programme\Gemeinsame Dateien

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"E:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"audiag"="C:\\WINDOWS\\System32\\audconf.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"notepad.exe"="msmsgs.exe"
"paint.exe"="shnlog.exe"
"winlogon.exe"="msole32.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullsEye Network]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bargains"
"hkey"="HKLM"
"command"="C:\\Programme\\BullsEye Network\\bin\\bargains.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CashBack]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cashback"
"hkey"="HKLM"
"command"="C:\\Programme\\CashBack\\bin\\cashback.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\inmfqdmb]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="inmfqdmb"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\inmfqdmb.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NaviSearch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nls"
"hkey"="HKLM"
"command"="C:\\Programme\\NaviSearch\\bin\\nls.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ossproxy"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\ossproxy.exe -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegSvr32]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\msmsgs.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-29 20:04:12.37
C:\ComboFix.txt ... 06-10-29 20:04
C:\ComboFix2.txt ... 06-10-29 19:14
C:\ComboFix3.txt ... 06-10-28 14:50

datfind.bat:

1. Verzeichnis von C:\WINDOWS\system32

29.10.2006 19:10 52.764 perfc009.dat
29.10.2006 19:10 380.350 perfh009.dat
29.10.2006 19:10 391.000 perfh007.dat
29.10.2006 19:10 63.580 perfc007.dat
29.10.2006 19:10 897.954 PerfStringBackup.INI
29.10.2006 19:05 2.206 wpa.dbl
28.10.2006 14:40 143.360 audstat.dll
28.10.2006 10:39 53.248 confaud.dll
07.09.2006 11:54 57.384 avsda.dll

2.Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp

29.10.2006 19:40 978 TempICQMagicNumber_9317590017319.html
29.10.2006 19:17 970 TempICQCLImage9316998015080.html
29.10.2006 19:09 16.384 ~DFA134.tmp
29.10.2006 19:09 512 ~DFA140.tmp
29.10.2006 19:06 512 ~DF5636.tmp
29.10.2006 19:06 16.384 ~DF562A.tmp
6 Datei(en) 35.740 Bytes
0 Verzeichnis(se), 2.017.624.064 Bytes frei

3. Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS

29.10.2006 19:59 848 win.ini
29.10.2006 19:06 0 0.log
29.10.2006 19:05 2.048 bootstat.dat
28.10.2006 15:22 32.626 SchedLgU.Txt
20.10.2006 15:33 0 attcfg.tmp
20.10.2006 14:08 12.000 serrv.wax
20.10.2006 14:07 0 serrv.s
20.10.2006 13:58 0 serrv.z
20.10.2006 13:57 0 jw9ucgel.scf
17.10.2006 19:32 0 hv4e05.dll
17.10.2006 19:25 0 egadata.tmp
17.10.2006 19:25 0 concfg.tmp
17.10.2006 19:25 0 dbmdata.tmp
17.10.2006 19:25 1.880.639 md2icut9a2.dll
15.10.2006 14:58 440 sc.tmp
15.10.2006 14:57 1.880.639 kheu93.dll
03.10.2006 11:39 50 wiaservc.log
03.10.2006 11:39 216 wiadebug.log
02.10.2006 07:14 40 nero.INI
20.09.2006 17:56 77.471 E6.tmp
20.09.2006 17:56 75.023 E7.tmp
20.08.2006 15:31 1.486.443 setupapi.log
13.08.2006 15:37 184.516 setupact.log

4. Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\Temp

(leer)

5. Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

(leer)

6. Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\

29.10.2006 19:53 0 sys.txt
29.10.2006 19:53 585 down.txt
29.10.2006 19:53 117 tmp.txt
29.10.2006 19:53 8.460 system.txt
29.10.2006 19:52 591 systemtemp.txt
29.10.2006 19:52 101.185 system32.txt
29.10.2006 19:14 10.672 ComboFix.txt
29.10.2006 19:05 1.073.270.784 hiberfil.sys
29.10.2006 19:05 805.306.368 pagefile.sys
28.10.2006 14:50 10.703 ComboFix2.txt
28.10.2006 14:40 99 ComboFix3.txt

29.10.2006, 20:18

Sabina

Ehrenmitglied

Beiträge: 29434

#6 1.
scanne mit smitfraudfix - option 1 und 2 - poste hier beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | audiag
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run|notepad.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run|paint.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run|winlogon.exe

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NaviSearch
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\inmfqdmb
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullsEye Network
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegSvr32

Files to delete:
C:\WINDOWS\attcfg.tmp
C:\WINDOWS\serrv.wax
C:\WINDOWS\serrv.s
C:\WINDOWS\serrv.z
C:\WINDOWS\jw9ucgel.scf
C:\WINDOWS\hv4e05.dll
C:\WINDOWS\egadata.tmp
C:\WINDOWS\concfg.tmp
C:\WINDOWS\dbmdata.tmp
C:\WINDOWS\md2icut9a2.dll
C:\WINDOWS\sc.tmp
C:\WINDOWS\kheu93.dll
C:\WINDOWS\E6.tmp
C:\WINDOWS\E7.tmp
C:\WINDOWS\inmfqdmb.exe
C:\WINDOWS\System32\ossproxy.exe
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\system32\confaud.dll

Folders to delete:
C:\Programme\CashBack
C:\Programme\NaviSearch
C:\Programme\BullsEye Network

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

30.10.2006, 21:14

swifffer

Member

Beiträge: 41

#7 erster log:

SmitFraudFix v2.117

Scan done at 21:06:55,22, 30.10.2006
Run from C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\sites.ini FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\date.ico FOUND !
C:\WINDOWS\system32\network.ico FOUND !
C:\WINDOWS\system32\pharm.ico FOUND !
C:\WINDOWS\system32\spam.ico FOUND !
C:\WINDOWS\system32\spyware.ico FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Dr.SwifT

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Dr.SwifT\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\DRB263~1.SWI\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="\\\\?\\C:\\WINDOWS\\System32\\com7.fdn"

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

nach dem killing:

SmitFraudFix v2.117

Scan done at 21:10:26,59, 30.10.2006
Run from C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\sites.ini Deleted
C:\WINDOWS\system32\date.ico Deleted
C:\WINDOWS\system32\network.ico Deleted
C:\WINDOWS\system32\pharm.ico Deleted
C:\WINDOWS\system32\spam.ico Deleted
C:\WINDOWS\system32\spyware.ico Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

kann avenger komischerweise nicht starten. auch nicht über start -> ausführen

, verstehe es nicht

vielen dank für die hilfe

31.10.2006, 00:31

Sabina

Ehrenmitglied

Beiträge: 29434

#8 Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\WINDOWS\attcfg.tmp
C:\WINDOWS\serrv.wax
C:\WINDOWS\serrv.s
C:\WINDOWS\serrv.z
C:\WINDOWS\jw9ucgel.scf
C:\WINDOWS\hv4e05.dll
C:\WINDOWS\egadata.tmp
C:\WINDOWS\concfg.tmp
C:\WINDOWS\dbmdata.tmp
C:\WINDOWS\md2icut9a2.dll
C:\WINDOWS\sc.tmp
C:\WINDOWS\kheu93.dll
C:\WINDOWS\E6.tmp
C:\WINDOWS\E7.tmp
C:\WINDOWS\inmfqdmb.exe
C:\WINDOWS\System32\ossproxy.exe
C:\WINDOWS\system32\audstat.dll
C:\WINDOWS\system32\confaud.dll

PC neustarten

**
dann poste noch mal das log von combofix + die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

31.10.2006, 19:13

swifffer

Member

Beiträge: 41

#9 danke für die antwort

hier der combofix log:

Dr.SwifT - 06-10-31 19:09:39,99 Service Pack 1
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Dr.SwifT\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-31 to 2006-10-31 ))))))))))))))))))))))))))))))))))

2006-10-30 21:06 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-10-30 21:06 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-10-30 21:06 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-10-30 21:06 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-10-20 14:04 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-10-20 14:04 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-10-20 14:04 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-10-20 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-23 23:32 -------- d-------- C:\Programme\Gemeinsame Dateien\element5 Shared
2006-09-23 23:32 -------- d-------- C:\Programme\Gemeinsame Dateien

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"E:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"audiag"="C:\\WINDOWS\\System32\\audconf.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullsEye Network]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bargains"
"hkey"="HKLM"
"command"="C:\\Programme\\BullsEye Network\\bin\\bargains.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CashBack]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cashback"
"hkey"="HKLM"
"command"="C:\\Programme\\CashBack\\bin\\cashback.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\inmfqdmb]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="inmfqdmb"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\inmfqdmb.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NaviSearch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nls"
"hkey"="HKLM"
"command"="C:\\Programme\\NaviSearch\\bin\\nls.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ossproxy"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\ossproxy.exe -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegSvr32]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\msmsgs.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\audmgr

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-31 19:12:27.89
C:\ComboFix.txt ... 06-10-31 19:12
C:\ComboFix2.txt ... 06-10-29 20:04
C:\ComboFix3.txt ... 06-10-29 19:14

datfindbat:

1.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\system32

30.10.2006 20:53 2.206 wpa.dbl
29.10.2006 19:10 380.350 perfh009.dat
29.10.2006 19:10 52.764 perfc009.dat
29.10.2006 19:10 391.000 perfh007.dat
29.10.2006 19:10 63.580 perfc007.dat
29.10.2006 19:10 897.954 PerfStringBackup.INI
07.09.2006 11:54 57.384 avsda.dll
29.08.2006 18:43 135.168 swreg.exe

2.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp

31.10.2006 19:07 512 ~DF2A7A.tmp
31.10.2006 19:07 16.384 ~DF2A6E.tmp
2 Datei(en) 16.896 Bytes
0 Verzeichnis(se), 1.941.614.592 Bytes frei

3.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS

31.10.2006 19:08 848 win.ini
31.10.2006 19:07 0 0.log
31.10.2006 19:07 2.048 bootstat.dat
31.10.2006 19:06 32.626 SchedLgU.Txt
30.10.2006 21:14 106.666 ntbtlog.txt
30.10.2006 21:14 184.756 setupact.log
03.10.2006 11:39 50 wiaservc.log
03.10.2006 11:39 216 wiadebug.log
02.10.2006 07:14 40 nero.INI
20.08.2006 15:31 1.486.443 setupapi.log

4.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\Temp

(leer)

5.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

6.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F

Verzeichnis von C:\

31.10.2006 19:15 0 sys.txt
31.10.2006 19:15 585 down.txt
31.10.2006 19:15 117 tmp.txt
31.10.2006 19:14 7.801 system.txt
31.10.2006 19:14 348 systemtemp.txt
31.10.2006 19:14 101.041 system32.txt
31.10.2006 19:12 9.781 ComboFix.txt
31.10.2006 19:07 1.073.270.784 hiberfil.sys
31.10.2006 19:07 805.306.368 pagefile.sys
30.10.2006 21:13 1.122 rapport.txt
29.10.2006 20:04 10.672 ComboFix2.txt
29.10.2006 19:53 1.232 c.txt
29.10.2006 19:14 10.672 ComboFix3.txt

31.10.2006, 23:46

Sabina

Ehrenmitglied

Beiträge: 29434

#10 swifffer

1.
Start - Ausfuehren - regedit
bearbeiten - suchen (oben links)

loesche:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\audmgr
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NaviSearch
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OSS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\inmfqdmb
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullsEye Network
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegSvr32

2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\4144\SiteAdv.dll

O2 - BHO: (no name) - {61DDD76A-4415-4447-F161-0EBA9A6B6A9D} - C:\DOKUME~1\Frank\ANWEND~1\MOVEOB~1\Phone Soft.exe (file missing)

**
scanne und poste den scanreport
http://virus-protect.org/cureit.html

**
berichte, ob die windowsupdates funktionieren (der virus loescht normalerweise diese funktion aus der registry)
__________
MfG Sabina

rund um die PC-Sicherheit

01.11.2006, 12:02

swifffer

Member

Beiträge: 41

#11 diese 2 einträge finden sich nicht in meiner hicjacklist:

Logfile of HijackThis v1.99.1
Scan saved at 12:05:46, on 01.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\soundman.exe
E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\CloneCD\ElbyCheck.exe
E:\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\ati2sgag.exe

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\ipod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

01.11.2006, 12:27

Sabina

Ehrenmitglied

Beiträge: 29434

#12 fixe mit dem hIjacktHis:

R3 - Default URLSearchHook is missing

neustarten

««
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

02.11.2006, 21:26

swifffer

Member

Beiträge: 41

#13 an diesem punkt bricht der scan komcherweise immer ab:

nachdem die datei a0002408.dll die dem virus zuzuordnen ist gescannt wurde stopt dr.web und antivir zeigt mir den fund an.

die dr.web log bis dato:

=============================================================================
Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.10060)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-11-01, 19:26:48 [SWIFT][Dr.SwifT]
Kommandozeile: "C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows XP Professional x86 (Build 2600), Service Pack 1
=============================================================================
Suchmodul Version: 4.33 (4.33.5.10110)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 347 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43359.cdb - 1205 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43358.cdb - 1139 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43357.cdb - 1302 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43356.cdb - 1332 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43355.cdb - 2456 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43354.cdb - 1283 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43353.cdb - 795 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43352.cdb - 2016 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43351.cdb - 941 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43350.cdb - 1020 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43349.cdb - 1008 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43348.cdb - 1096 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43347.cdb - 707 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43346.cdb - 1429 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43345.cdb - 1358 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43344.cdb - 694 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43343.cdb - 1186 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43342.cdb - 744 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43341.cdb - 841 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 296 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 222 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43305.cdb - 752 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43304.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 772 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 151156
Lizenzschlüssel: C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

[Prüfpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\desktop\drweb-cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\lokale einstellungen\temp\rarsfx0\_start.exe
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\lokale einstellungen\temp\rarsfx0\cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\programme\antivir personaledition classic\avgnt.exe
[Prüfpfad] c:\programme\antivir personaledition classic\avguard.exe
[Prüfpfad] c:\programme\antivir personaledition classic\sched.exe
[Prüfpfad] c:\programme\antivir personaledition classic\shlext.dll
[Prüfpfad] c:\programme\d-tools\daemon.exe
[Prüfpfad] c:\programme\gemeinsame dateien\element5 shared\service\licence manager esd.exe
[Prüfpfad] c:\programme\gemeinsame dateien\symantec shared\sndsrvc.exe
[Prüfpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
[Prüfpfad] c:\programme\java\j2re1.4.2_04\bin\jusched.exe
[Prüfpfad] c:\programme\outlook express\setup50.exe
[Prüfpfad] c:\programme\outlook express\wabfind.dll
[Prüfpfad] c:\programme\symantec\symevent.sys
[Prüfpfad] c:\windows\explorer.exe
[Prüfpfad] c:\windows\inf\unregmp2.exe
[Prüfpfad] c:\windows\microsoft.net\framework\v1.1.4322\aspnet_state.exe
[Prüfpfad] c:\windows\msagent\agentpsh.dll
[Prüfpfad] c:\windows\soundman.exe
[Prüfpfad] c:\windows\system32\advapi32.dll
[Prüfpfad] c:\windows\system32\advpack.dll
[Prüfpfad] c:\windows\system32\alg.exe
[Prüfpfad] c:\windows\system32\appwiz.cpl
[Prüfpfad] c:\windows\system32\ati2evxx.dll
[Prüfpfad] c:\windows\system32\ati2evxx.exe
[Prüfpfad] c:\windows\system32\ati2sgag.exe
[Prüfpfad] c:\windows\system32\autochk.exe
[Prüfpfad] c:\windows\system32\browseui.dll
[Prüfpfad] c:\windows\system32\cabview.dll
[Prüfpfad] c:\windows\system32\cdfview.dll
[Prüfpfad] c:\windows\system32\cisvc.exe
[Prüfpfad] c:\windows\system32\clipsrv.exe
[Prüfpfad] c:\windows\system32\cnbjmon.dll
[Prüfpfad] c:\windows\system32\comdlg32.dll
[Prüfpfad] c:\windows\system32\crypt32.dll
[Prüfpfad] c:\windows\system32\cryptext.dll
[Prüfpfad] c:\windows\system32\cryptnet.dll
[Prüfpfad] c:\windows\system32\cscdll.dll
[Prüfpfad] c:\windows\system32\cscui.dll
[Prüfpfad] c:\windows\system32\csrss.exe
[Prüfpfad] c:\windows\system32\deskadp.dll
[Prüfpfad] c:\windows\system32\deskmon.dll
[Prüfpfad] c:\windows\system32\deskperf.dll
[Prüfpfad] c:\windows\system32\dfsshlex.dll
[Prüfpfad] c:\windows\system32\diskcopy.dll
[Prüfpfad] c:\windows\system32\dllhost.exe
[Prüfpfad] c:\windows\system32\dmadmin.exe
[Prüfpfad] c:\windows\system32\docprop.dll
[Prüfpfad] c:\windows\system32\docprop2.dll
[Prüfpfad] c:\windows\system32\drivers\acpi.sys
[Prüfpfad] c:\windows\system32\drivers\aec.sys
[Prüfpfad] c:\windows\system32\drivers\afd.sys
[Prüfpfad] c:\windows\system32\drivers\aic78xx.sys
[Prüfpfad] c:\windows\system32\drivers\alcxwdm.sys
[Prüfpfad] c:\windows\system32\drivers\asyncmac.sys
[Prüfpfad] c:\windows\system32\drivers\atapi.sys
[Prüfpfad] c:\windows\system32\drivers\ati2mtag.sys
[Prüfpfad] c:\windows\system32\drivers\atmarpc.sys
[Prüfpfad] c:\windows\system32\drivers\audstub.sys
[Prüfpfad] c:\windows\system32\drivers\avgntdd.sys
[Prüfpfad] c:\windows\system32\drivers\avgntmgr.sys
[Prüfpfad] c:\windows\system32\drivers\cdrom.sys
[Prüfpfad] c:\windows\system32\drivers\d344bus.sys
[Prüfpfad] c:\windows\system32\drivers\d344prt.sys
[Prüfpfad] c:\windows\system32\drivers\disk.sys
[Prüfpfad] c:\windows\system32\drivers\dmboot.sys
[Prüfpfad] c:\windows\system32\drivers\dmio.sys
[Prüfpfad] c:\windows\system32\drivers\dmload.sys
[Prüfpfad] c:\windows\system32\drivers\dmusic.sys
[Prüfpfad] c:\windows\system32\drivers\drmkaud.sys
[Prüfpfad] c:\windows\system32\drivers\elbycdfl.sys
[Prüfpfad] c:\windows\system32\drivers\elbycdio.sys
[Prüfpfad] c:\windows\system32\drivers\fdc.sys
[Prüfpfad] c:\windows\system32\drivers\flpydisk.sys
[Prüfpfad] c:\windows\system32\drivers\fsvga.sys
[Prüfpfad] c:\windows\system32\drivers\ftdisk.sys
[Prüfpfad] c:\windows\system32\drivers\gameenum.sys
[Prüfpfad] c:\windows\system32\drivers\gearaspiwdm.sys
[Prüfpfad] c:\windows\system32\drivers\hidusb.sys
[Prüfpfad] c:\windows\system32\drivers\i8042prt.sys
[Prüfpfad] c:\windows\system32\drivers\imapi.sys
[Prüfpfad] c:\windows\system32\drivers\ip6fw.sys
[Prüfpfad] c:\windows\system32\drivers\ipfltdrv.sys
[Prüfpfad] c:\windows\system32\drivers\ipinip.sys
[Prüfpfad] c:\windows\system32\drivers\ipnat.sys
[Prüfpfad] c:\windows\system32\drivers\ipsec.sys
[Prüfpfad] c:\windows\system32\drivers\irenum.sys
[Prüfpfad] c:\windows\system32\drivers\isapnp.sys
[Prüfpfad] c:\windows\system32\drivers\kbdclass.sys
[Prüfpfad] c:\windows\system32\drivers\kmixer.sys
[Prüfpfad] c:\windows\system32\drivers\l8042pr2.sys
[Prüfpfad] c:\windows\system32\drivers\lhidflt2.sys
[Prüfpfad] c:\windows\system32\drivers\lhidusb.sys
[Prüfpfad] c:\windows\system32\drivers\lkbdflt2.sys
[Prüfpfad] c:\windows\system32\drivers\lmouflt2.sys
[Prüfpfad] c:\windows\system32\drivers\mouclass.sys
[Prüfpfad] c:\windows\system32\drivers\mouhid.sys
[Prüfpfad] c:\windows\system32\drivers\mrxdav.sys
[Prüfpfad] c:\windows\system32\drivers\mrxsmb.sys
[Prüfpfad] c:\windows\system32\drivers\msgpc.sys
[Prüfpfad] c:\windows\system32\drivers\mskssrv.sys
[Prüfpfad] c:\windows\system32\drivers\mspclock.sys
[Prüfpfad] c:\windows\system32\drivers\mspqm.sys
[Prüfpfad] c:\windows\system32\drivers\ndistapi.sys
[Prüfpfad] c:\windows\system32\drivers\ndisuio.sys
[Prüfpfad] c:\windows\system32\drivers\ndiswan.sys
[Prüfpfad] c:\windows\system32\drivers\netbios.sys
[Prüfpfad] c:\windows\system32\drivers\netbt.sys
[Prüfpfad] c:\windows\system32\drivers\nv4_mini.sys
[Prüfpfad] c:\windows\system32\drivers\nwlnkflt.sys
[Prüfpfad] c:\windows\system32\drivers\nwlnkfwd.sys
[Prüfpfad] c:\windows\system32\drivers\parport.sys
[Prüfpfad] c:\windows\system32\drivers\pci.sys
[Prüfpfad] c:\windows\system32\drivers\processr.sys
[Prüfpfad] c:\windows\system32\drivers\psched.sys
[Prüfpfad] c:\windows\system32\drivers\ptilink.sys
[Prüfpfad] c:\windows\system32\drivers\pxhelp20.sys
[Prüfpfad] c:\windows\system32\drivers\rasacd.sys
[Prüfpfad] c:\windows\system32\drivers\rasl2tp.sys
[Prüfpfad] c:\windows\system32\drivers\raspppoe.sys
[Prüfpfad] c:\windows\system32\drivers\raspptp.sys
[Prüfpfad] c:\windows\system32\drivers\raspti.sys
[Prüfpfad] c:\windows\system32\drivers\rdbss.sys
[Prüfpfad] c:\windows\system32\drivers\rdpcdd.sys
[Prüfpfad] c:\windows\system32\drivers\rdpdr.sys
[Prüfpfad] c:\windows\system32\drivers\redbook.sys
[Prüfpfad] c:\windows\system32\drivers\rtl8139.sys
[Prüfpfad] c:\windows\system32\drivers\secdrv.sys
[Prüfpfad] c:\windows\system32\drivers\serenum.sys
[Prüfpfad] c:\windows\system32\drivers\serial.sys
[Prüfpfad] c:\windows\system32\drivers\splitter.sys
[Prüfpfad] c:\windows\system32\drivers\sr.sys
[Prüfpfad] c:\windows\system32\drivers\srv.sys
[Prüfpfad] c:\windows\system32\drivers\swenum.sys
[Prüfpfad] c:\windows\system32\drivers\swmidi.sys
[Prüfpfad] c:\windows\system32\drivers\symdns.sys
[Prüfpfad] c:\windows\system32\drivers\symfw.sys
[Prüfpfad] c:\windows\system32\drivers\symids.sys
[Prüfpfad] c:\windows\system32\drivers\symndis.sys
[Prüfpfad] c:\windows\system32\drivers\symredrv.sys
[Prüfpfad] c:\windows\system32\drivers\symtdi.sys
[Prüfpfad] c:\windows\system32\drivers\sysaudio.sys
[Prüfpfad] c:\windows\system32\drivers\tcpip.sys
[Prüfpfad] c:\windows\system32\drivers\termdd.sys
[Prüfpfad] c:\windows\system32\drivers\update.sys
[Prüfpfad] c:\windows\system32\drivers\usbehci.sys
[Prüfpfad] c:\windows\system32\drivers\usbhub.sys
[Prüfpfad] c:\windows\system32\drivers\usbprint.sys
[Prüfpfad] c:\windows\system32\drivers\usbstor.sys
[Prüfpfad] c:\windows\system32\drivers\usbuhci.sys
[Prüfpfad] c:\windows\system32\drivers\vga.sys
[Prüfpfad] c:\windows\system32\drivers\viaagp.sys
[Prüfpfad] c:\windows\system32\drivers\viaide.sys
[Prüfpfad] c:\windows\system32\drivers\wanarp.sys
[Prüfpfad] c:\windows\system32\drivers\wdmaud.sys
[Prüfpfad] c:\windows\system32\dskquoui.dll
[Prüfpfad] c:\windows\system32\dsquery.dll
[Prüfpfad] c:\windows\system32\dssec.dll
[Prüfpfad] c:\windows\system32\dsuiext.dll
[Prüfpfad] c:\windows\system32\fontext.dll
[Prüfpfad] c:\windows\system32\gdi32.dll
[Prüfpfad] c:\windows\system32\hticons.dll
[Prüfpfad] c:\windows\system32\icmui.dll
[Prüfpfad] c:\windows\system32\ie4uinit.exe
[Prüfpfad] c:\windows\system32\iedkcs32.dll
[Prüfpfad] c:\windows\system32\imagehlp.dll
[Prüfpfad] c:\windows\system32\imapi.exe
[Prüfpfad] c:\windows\system32\inetcomm.dll
[Prüfpfad] c:\windows\system32\itss.dll
[Prüfpfad] c:\windows\system32\kerberos.dll
[Prüfpfad] c:\windows\system32\kernel32.dll
[Prüfpfad] c:\windows\system32\lexbces.exe
[Prüfpfad] c:\windows\system32\lexlmpm.dll
[Prüfpfad] c:\windows\system32\lexpps.exe
[Prüfpfad] c:\windows\system32\localspl.dll
[Prüfpfad] c:\windows\system32\locator.exe
[Prüfpfad] c:\windows\system32\logonui.exe
[Prüfpfad] c:\windows\system32\lsass.exe
[Prüfpfad] c:\windows\system32\lz32.dll
[Prüfpfad] c:\windows\system32\mmcshext.dll
[Prüfpfad] c:\windows\system32\mmsys.cpl
[Prüfpfad] c:\windows\system32\mnmsrvc.exe
[Prüfpfad] c:\windows\system32\mscoree.dll
[Prüfpfad] c:\windows\system32\mscories.dll
[Prüfpfad] c:\windows\system32\msdtc.exe
[Prüfpfad] c:\windows\system32\msdxm.ocx
[Prüfpfad] c:\windows\system32\mshtml.dll
[Prüfpfad] c:\windows\system32\msieftp.dll
[Prüfpfad] c:\windows\system32\msiexec.exe
[Prüfpfad] c:\windows\system32\mstask.dll
[Prüfpfad] c:\windows\system32\msv1_0.dll
[Prüfpfad] c:\windows\system32\msvidctl.dll
[Prüfpfad] c:\windows\system32\mswsock.dll
[Prüfpfad] c:\windows\system32\mydocs.dll
[Prüfpfad] c:\windows\system32\nerocheck.exe
[Prüfpfad] c:\windows\system32\netdde.exe
[Prüfpfad] c:\windows\system32\netplwiz.dll
[Prüfpfad] c:\windows\system32\netshell.dll
[Prüfpfad] c:\windows\system32\ntlanui2.dll
[Prüfpfad] c:\windows\system32\ntsd.exe
[Prüfpfad] c:\windows\system32\ntshrui.dll
[Prüfpfad] c:\windows\system32\occache.dll
[Prüfpfad] c:\windows\system32\ole32.dll
[Prüfpfad] c:\windows\system32\oleaut32.dll
[Prüfpfad] c:\windows\system32\olecli32.dll
[Prüfpfad] c:\windows\system32\olecnv32.dll
[Prüfpfad] c:\windows\system32\olesvr32.dll
[Prüfpfad] c:\windows\system32\olethk32.dll
[Prüfpfad] c:\windows\system32\photowiz.dll
[Prüfpfad] c:\windows\system32\pjlmon.dll
[Prüfpfad] c:\windows\system32\printui.dll
[Prüfpfad] c:\windows\system32\regsvr32.exe
[Prüfpfad] c:\windows\system32\remotepg.dll
[Prüfpfad] c:\windows\system32\rpcrt4.dll
[Prüfpfad] c:\windows\system32\rpcss.dll
[Prüfpfad] c:\windows\system32\rshx32.dll
[Prüfpfad] c:\windows\system32\rsvp.exe
[Prüfpfad] c:\windows\system32\rsvpsp.dll
[Prüfpfad] c:\windows\system32\rundll32.exe
[Prüfpfad] c:\windows\system32\scardsvr.exe
[Prüfpfad] c:\windows\system32\scecli.dll
[Prüfpfad] c:\windows\system32\schannel.dll
[Prüfpfad] c:\windows\system32\sclgntfy.dll
[Prüfpfad] c:\windows\system32\scrnsave.scr
[Prüfpfad] c:\windows\system32\sendmail.dll
[Prüfpfad] c:\windows\system32\services.exe
[Prüfpfad] c:\windows\system32\sessmgr.exe
[Prüfpfad] c:\windows\system32\shdocvw.dll
[Prüfpfad] c:\windows\system32\shell32.dll
[Prüfpfad] c:\windows\system32\shimgvw.dll
[Prüfpfad] c:\windows\system32\shmedia.dll
[Prüfpfad] c:\windows\system32\shmgrate.exe
[Prüfpfad] c:\windows\system32\shscrap.dll
[Prüfpfad] c:\windows\system32\slayerxp.dll
[Prüfpfad] c:\windows\system32\smlogsvc.exe
[Prüfpfad] c:\windows\system32\smss.exe
[Prüfpfad] c:\windows\system32\spoolsv.exe
[Prüfpfad] c:\windows\system32\stobject.dll
[Prüfpfad] c:\windows\system32\svchost.exe
[Prüfpfad] c:\windows\system32\syncui.dll
[Prüfpfad] c:\windows\system32\tcpmon.dll
[Prüfpfad] c:\windows\system32\themeui.dll
[Prüfpfad] c:\windows\system32\tlntsvr.exe
[Prüfpfad] c:\windows\system32\ups.exe
[Prüfpfad] c:\windows\system32\url.dll
[Prüfpfad] c:\windows\system32\urlmon.dll
[Prüfpfad] c:\windows\system32\usbmon.dll
[Prüfpfad] c:\windows\system32\user32.dll
[Prüfpfad] c:\windows\system32\version.dll
[Prüfpfad] c:\windows\system32\vssvc.exe
[Prüfpfad] c:\windows\system32\wbem\wmiapsrv.exe
[Prüfpfad] c:\windows\system32\wdigest.dll
[Prüfpfad] c:\windows\system32\webcheck.dll
[Prüfpfad] c:\windows\system32\wiascr.dll
[Prüfpfad] c:\windows\system32\wiashext.dll
[Prüfpfad] c:\windows\system32\wininet.dll
[Prüfpfad] c:\windows\system32\winlogon.exe
[Prüfpfad] c:\windows\system32\wldap32.dll
[Prüfpfad] c:\windows\system32\wlnotify.dll
[Prüfpfad] c:\windows\system32\wmpshell.dll
[Prüfpfad] c:\windows\system32\wshext.dll
[Prüfpfad] c:\windows\system32\wuaueng.dll
[Prüfpfad] c:\windows\system32\zipfldr.dll
[Prüfpfad] c:\windows\wc98pp.dll
[Prüfpfad] e:\clonecd\elbycheck.exe
[Prüfpfad] e:\clonecd\elbyvcdshell.dll
[Prüfpfad] e:\ipod\bin\ipodservice.exe
[Prüfpfad] e:\itunes\itunesminiplayer.dll
[Prüfpfad] e:\logitech\mouseware\system\em_exec.exe
[Prüfpfad] e:\opera\opera.exe
[Prüfpfad] e:\programme\icq\icq.exe
[Prüfpfad] e:\programme\icq\icqnet.exe
[Prüfpfad] e:\programme\icq\icqshext.dll
[Prüfpfad] e:\winamp\winamp.exe
[Prüfpfad] e:\winamp\winampa.exe
[Prüfpfad] e:\winrar\rarext.dll
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 536
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 3344 Kb/s
Dauer:: 00:00:19
-----------------------------------------------------------------------------

[Prüfpfad] C:\
C:\hiberfil.sys - Lesefehler
>>C:\!KillBox\E6.tmp ist ein Adware-Programm Adware.LinkOptimizer
C:\Dokumente und Einstellungen\Dr.SwifT\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\SmitfraudFix\SmitfraudFix\Process.exe ist ein Hacktool Tool.Prockill
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\SmitfraudFix\SmitfraudFix\restart.exe ist ein Hacktool Tool.ShutDown.11
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF82E7.tmp - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>>C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP1\A0000038.dll ist ein Adware-Programm Adware.LinkOptimizer
C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP10\A0002406.exe - Lesefehler
C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP10\A0002407.dll - Lesefehler
C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP10\A0002408.dll - Lesefehler

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 1
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 1 Kb/s
Dauer:: 00:00:15
-----------------------------------------------------------------------------

Prüfung vom Benutzer abgebrochen! - keine Viren gefunden
=============================================================================
Gesamte Sitzungsstatistik
=============================================================================
Geprüfte Objekte: 1
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 1 Kb/s
Dauer:: 00:00:15
=============================================================================

=============================================================================
Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.10060)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-11-02, 21:07:21 [SWIFT][Dr.SwifT]
Kommandozeile: "C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows XP Professional x86 (Build 2600), Service Pack 1
=============================================================================
Suchmodul Version: 4.33 (4.33.5.10110)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 347 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43359.cdb - 1205 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43358.cdb - 1139 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43357.cdb - 1302 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43356.cdb - 1332 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43355.cdb - 2456 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43354.cdb - 1283 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43353.cdb - 795 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43352.cdb - 2016 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43351.cdb - 941 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43350.cdb - 1020 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43349.cdb - 1008 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43348.cdb - 1096 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43347.cdb - 707 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43346.cdb - 1429 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43345.cdb - 1358 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43344.cdb - 694 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43343.cdb - 1186 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43342.cdb - 744 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43341.cdb - 841 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 296 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 222 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43305.cdb - 752 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43304.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 772 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 151156
Lizenzschlüssel: C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

[Prüfpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\desktop\drweb-cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\lokale einstellungen\temp\rarsfx0\_start.exe
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\lokale einstellungen\temp\rarsfx0\cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\dr.swift\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\programme\antivir personaledition classic\avgnt.exe
[Prüfpfad] c:\programme\antivir personaledition classic\avguard.exe
[Prüfpfad] c:\programme\antivir personaledition classic\sched.exe
[Prüfpfad] c:\programme\antivir personaledition classic\shlext.dll
[Prüfpfad] c:\programme\d-tools\daemon.exe
[Prüfpfad] c:\programme\gemeinsame dateien\element5 shared\service\licence manager esd.exe
[Prüfpfad] c:\programme\gemeinsame dateien\symantec shared\sndsrvc.exe
[Prüfpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
[Prüfpfad] c:\programme\java\j2re1.4.2_04\bin\jusched.exe
[Prüfpfad] c:\programme\outlook express\setup50.exe
[Prüfpfad] c:\programme\outlook express\wabfind.dll
[Prüfpfad] c:\programme\symantec\symevent.sys
[Prüfpfad] c:\windows\explorer.exe
[Prüfpfad] c:\windows\inf\unregmp2.exe
[Prüfpfad] c:\windows\microsoft.net\framework\v1.1.4322\aspnet_state.exe
[Prüfpfad] c:\windows\msagent\agentpsh.dll
[Prüfpfad] c:\windows\soundman.exe
[Prüfpfad] c:\windows\system32\advapi32.dll
[Prüfpfad] c:\windows\system32\advpack.dll
[Prüfpfad] c:\windows\system32\alg.exe
[Prüfpfad] c:\windows\system32\appwiz.cpl
[Prüfpfad] c:\windows\system32\ati2evxx.dll
[Prüfpfad] c:\windows\system32\ati2evxx.exe
[Prüfpfad] c:\windows\system32\ati2sgag.exe
[Prüfpfad] c:\windows\system32\autochk.exe
[Prüfpfad] c:\windows\system32\browseui.dll
[Prüfpfad] c:\windows\system32\cabview.dll
[Prüfpfad] c:\windows\system32\cdfview.dll
[Prüfpfad] c:\windows\system32\cisvc.exe
[Prüfpfad] c:\windows\system32\clipsrv.exe
[Prüfpfad] c:\windows\system32\cnbjmon.dll
[Prüfpfad] c:\windows\system32\comdlg32.dll
[Prüfpfad] c:\windows\system32\crypt32.dll
[Prüfpfad] c:\windows\system32\cryptext.dll
[Prüfpfad] c:\windows\system32\cryptnet.dll
[Prüfpfad] c:\windows\system32\cscdll.dll
[Prüfpfad] c:\windows\system32\cscui.dll
[Prüfpfad] c:\windows\system32\csrss.exe
[Prüfpfad] c:\windows\system32\deskadp.dll
[Prüfpfad] c:\windows\system32\deskmon.dll
[Prüfpfad] c:\windows\system32\deskperf.dll
[Prüfpfad] c:\windows\system32\dfsshlex.dll
[Prüfpfad] c:\windows\system32\diskcopy.dll
[Prüfpfad] c:\windows\system32\dllhost.exe
[Prüfpfad] c:\windows\system32\dmadmin.exe
[Prüfpfad] c:\windows\system32\docprop.dll
[Prüfpfad] c:\windows\system32\docprop2.dll
[Prüfpfad] c:\windows\system32\drivers\acpi.sys
[Prüfpfad] c:\windows\system32\drivers\aec.sys
[Prüfpfad] c:\windows\system32\drivers\afd.sys
[Prüfpfad] c:\windows\system32\drivers\aic78xx.sys
[Prüfpfad] c:\windows\system32\drivers\alcxwdm.sys
[Prüfpfad] c:\windows\system32\drivers\asyncmac.sys
[Prüfpfad] c:\windows\system32\drivers\atapi.sys
[Prüfpfad] c:\windows\system32\drivers\ati2mtag.sys
[Prüfpfad] c:\windows\system32\drivers\atmarpc.sys
[Prüfpfad] c:\windows\system32\drivers\audstub.sys
[Prüfpfad] c:\windows\system32\drivers\avgntdd.sys
[Prüfpfad] c:\windows\system32\drivers\avgntmgr.sys
[Prüfpfad] c:\windows\system32\drivers\cdrom.sys
[Prüfpfad] c:\windows\system32\drivers\d344bus.sys
[Prüfpfad] c:\windows\system32\drivers\d344prt.sys
[Prüfpfad] c:\windows\system32\drivers\disk.sys
[Prüfpfad] c:\windows\system32\drivers\dmboot.sys
[Prüfpfad] c:\windows\system32\drivers\dmio.sys
[Prüfpfad] c:\windows\system32\drivers\dmload.sys
[Prüfpfad] c:\windows\system32\drivers\dmusic.sys
[Prüfpfad] c:\windows\system32\drivers\drmkaud.sys
[Prüfpfad] c:\windows\system32\drivers\elbycdfl.sys
[Prüfpfad] c:\windows\system32\drivers\elbycdio.sys
[Prüfpfad] c:\windows\system32\drivers\fdc.sys
[Prüfpfad] c:\windows\system32\drivers\flpydisk.sys
[Prüfpfad] c:\windows\system32\drivers\fsvga.sys
[Prüfpfad] c:\windows\system32\drivers\ftdisk.sys
[Prüfpfad] c:\windows\system32\drivers\gameenum.sys
[Prüfpfad] c:\windows\system32\drivers\gearaspiwdm.sys
[Prüfpfad] c:\windows\system32\drivers\hidusb.sys
[Prüfpfad] c:\windows\system32\drivers\i8042prt.sys
[Prüfpfad] c:\windows\system32\drivers\imapi.sys
[Prüfpfad] c:\windows\system32\drivers\ip6fw.sys
[Prüfpfad] c:\windows\system32\drivers\ipfltdrv.sys
[Prüfpfad] c:\windows\system32\drivers\ipinip.sys
[Prüfpfad] c:\windows\system32\drivers\ipnat.sys
[Prüfpfad] c:\windows\system32\drivers\ipsec.sys
[Prüfpfad] c:\windows\system32\drivers\irenum.sys
[Prüfpfad] c:\windows\system32\drivers\isapnp.sys
[Prüfpfad] c:\windows\system32\drivers\kbdclass.sys
[Prüfpfad] c:\windows\system32\drivers\kmixer.sys
[Prüfpfad] c:\windows\system32\drivers\l8042pr2.sys
[Prüfpfad] c:\windows\system32\drivers\lhidflt2.sys
[Prüfpfad] c:\windows\system32\drivers\lhidusb.sys
[Prüfpfad] c:\windows\system32\drivers\lkbdflt2.sys
[Prüfpfad] c:\windows\system32\drivers\lmouflt2.sys
[Prüfpfad] c:\windows\system32\drivers\mouclass.sys
[Prüfpfad] c:\windows\system32\drivers\mouhid.sys
[Prüfpfad] c:\windows\system32\drivers\mrxdav.sys
[Prüfpfad] c:\windows\system32\drivers\mrxsmb.sys
[Prüfpfad] c:\windows\system32\drivers\msgpc.sys
[Prüfpfad] c:\windows\system32\drivers\mskssrv.sys
[Prüfpfad] c:\windows\system32\drivers\mspclock.sys
[Prüfpfad] c:\windows\system32\drivers\mspqm.sys
[Prüfpfad] c:\windows\system32\drivers\ndistapi.sys
[Prüfpfad] c:\windows\system32\drivers\ndisuio.sys
[Prüfpfad] c:\windows\system32\drivers\ndiswan.sys
[Prüfpfad] c:\windows\system32\drivers\netbios.sys
[Prüfpfad] c:\windows\system32\drivers\netbt.sys
[Prüfpfad] c:\windows\system32\drivers\nv4_mini.sys
[Prüfpfad] c:\windows\system32\drivers\nwlnkflt.sys
[Prüfpfad] c:\windows\system32\drivers\nwlnkfwd.sys
[Prüfpfad] c:\windows\system32\drivers\parport.sys
[Prüfpfad] c:\windows\system32\drivers\pci.sys
[Prüfpfad] c:\windows\system32\drivers\processr.sys
[Prüfpfad] c:\windows\system32\drivers\psched.sys
[Prüfpfad] c:\windows\system32\drivers\ptilink.sys
[Prüfpfad] c:\windows\system32\drivers\pxhelp20.sys
[Prüfpfad] c:\windows\system32\drivers\rasacd.sys
[Prüfpfad] c:\windows\system32\drivers\rasl2tp.sys
[Prüfpfad] c:\windows\system32\drivers\raspppoe.sys
[Prüfpfad] c:\windows\system32\drivers\raspptp.sys
[Prüfpfad] c:\windows\system32\drivers\raspti.sys
[Prüfpfad] c:\windows\system32\drivers\rdbss.sys
[Prüfpfad] c:\windows\system32\drivers\rdpcdd.sys
[Prüfpfad] c:\windows\system32\drivers\rdpdr.sys
[Prüfpfad] c:\windows\system32\drivers\redbook.sys
[Prüfpfad] c:\windows\system32\drivers\rtl8139.sys
[Prüfpfad] c:\windows\system32\drivers\secdrv.sys
[Prüfpfad] c:\windows\system32\drivers\serenum.sys
[Prüfpfad] c:\windows\system32\drivers\serial.sys
[Prüfpfad] c:\windows\system32\drivers\splitter.sys
[Prüfpfad] c:\windows\system32\drivers\sr.sys
[Prüfpfad] c:\windows\system32\drivers\srv.sys
[Prüfpfad] c:\windows\system32\drivers\swenum.sys
[Prüfpfad] c:\windows\system32\drivers\swmidi.sys
[Prüfpfad] c:\windows\system32\drivers\symdns.sys
[Prüfpfad] c:\windows\system32\drivers\symfw.sys
[Prüfpfad] c:\windows\system32\drivers\symids.sys
[Prüfpfad] c:\windows\system32\drivers\symndis.sys
[Prüfpfad] c:\windows\system32\drivers\symredrv.sys
[Prüfpfad] c:\windows\system32\drivers\symtdi.sys
[Prüfpfad] c:\windows\system32\drivers\sysaudio.sys
[Prüfpfad] c:\windows\system32\drivers\tcpip.sys
[Prüfpfad] c:\windows\system32\drivers\termdd.sys
[Prüfpfad] c:\windows\system32\drivers\update.sys
[Prüfpfad] c:\windows\system32\drivers\usbehci.sys
[Prüfpfad] c:\windows\system32\drivers\usbhub.sys
[Prüfpfad] c:\windows\system32\drivers\usbprint.sys
[Prüfpfad] c:\windows\system32\drivers\usbstor.sys
[Prüfpfad] c:\windows\system32\drivers\usbuhci.sys
[Prüfpfad] c:\windows\system32\drivers\vga.sys
[Prüfpfad] c:\windows\system32\drivers\viaagp.sys
[Prüfpfad] c:\windows\system32\drivers\viaide.sys
[Prüfpfad] c:\windows\system32\drivers\wanarp.sys
[Prüfpfad] c:\windows\system32\drivers\wdmaud.sys
[Prüfpfad] c:\windows\system32\dskquoui.dll
[Prüfpfad] c:\windows\system32\dsquery.dll
[Prüfpfad] c:\windows\system32\dssec.dll
[Prüfpfad] c:\windows\system32\dsuiext.dll
[Prüfpfad] c:\windows\system32\fontext.dll
[Prüfpfad] c:\windows\system32\gdi32.dll
[Prüfpfad] c:\windows\system32\hticons.dll
[Prüfpfad] c:\windows\system32\icmui.dll
[Prüfpfad] c:\windows\system32\ie4uinit.exe
[Prüfpfad] c:\windows\system32\iedkcs32.dll
[Prüfpfad] c:\windows\system32\imagehlp.dll
[Prüfpfad] c:\windows\system32\imapi.exe
[Prüfpfad] c:\windows\system32\inetcomm.dll
[Prüfpfad] c:\windows\system32\itss.dll
[Prüfpfad] c:\windows\system32\kerberos.dll
[Prüfpfad] c:\windows\system32\kernel32.dll
[Prüfpfad] c:\windows\system32\lexbces.exe
[Prüfpfad] c:\windows\system32\lexlmpm.dll
[Prüfpfad] c:\windows\system32\lexpps.exe
[Prüfpfad] c:\windows\system32\localspl.dll
[Prüfpfad] c:\windows\system32\locator.exe
[Prüfpfad] c:\windows\system32\logonui.exe
[Prüfpfad] c:\windows\system32\lsass.exe
[Prüfpfad] c:\windows\system32\lz32.dll
[Prüfpfad] c:\windows\system32\mmcshext.dll
[Prüfpfad] c:\windows\system32\mmsys.cpl
[Prüfpfad] c:\windows\system32\mnmsrvc.exe
[Prüfpfad] c:\windows\system32\mscoree.dll
[Prüfpfad] c:\windows\system32\mscories.dll
[Prüfpfad] c:\windows\system32\msdtc.exe
[Prüfpfad] c:\windows\system32\msdxm.ocx
[Prüfpfad] c:\windows\system32\mshtml.dll
[Prüfpfad] c:\windows\system32\msieftp.dll
[Prüfpfad] c:\windows\system32\msiexec.exe
[Prüfpfad] c:\windows\system32\mstask.dll
[Prüfpfad] c:\windows\system32\msv1_0.dll
[Prüfpfad] c:\windows\system32\msvidctl.dll
[Prüfpfad] c:\windows\system32\mswsock.dll
[Prüfpfad] c:\windows\system32\mydocs.dll
[Prüfpfad] c:\windows\system32\nerocheck.exe
[Prüfpfad] c:\windows\system32\netdde.exe
[Prüfpfad] c:\windows\system32\netplwiz.dll
[Prüfpfad] c:\windows\system32\netshell.dll
[Prüfpfad] c:\windows\system32\ntlanui2.dll
[Prüfpfad] c:\windows\system32\ntsd.exe
[Prüfpfad] c:\windows\system32\ntshrui.dll
[Prüfpfad] c:\windows\system32\occache.dll
[Prüfpfad] c:\windows\system32\ole32.dll
[Prüfpfad] c:\windows\system32\oleaut32.dll
[Prüfpfad] c:\windows\system32\olecli32.dll
[Prüfpfad] c:\windows\system32\olecnv32.dll
[Prüfpfad] c:\windows\system32\olesvr32.dll
[Prüfpfad] c:\windows\system32\olethk32.dll
[Prüfpfad] c:\windows\system32\photowiz.dll
[Prüfpfad] c:\windows\system32\pjlmon.dll
[Prüfpfad] c:\windows\system32\printui.dll
[Prüfpfad] c:\windows\system32\regsvr32.exe
[Prüfpfad] c:\windows\system32\remotepg.dll
[Prüfpfad] c:\windows\system32\rpcrt4.dll
[Prüfpfad] c:\windows\system32\rpcss.dll
[Prüfpfad] c:\windows\system32\rshx32.dll
[Prüfpfad] c:\windows\system32\rsvp.exe
[Prüfpfad] c:\windows\system32\rsvpsp.dll
[Prüfpfad] c:\windows\system32\rundll32.exe
[Prüfpfad] c:\windows\system32\scardsvr.exe
[Prüfpfad] c:\windows\system32\scecli.dll
[Prüfpfad] c:\windows\system32\schannel.dll
[Prüfpfad] c:\windows\system32\sclgntfy.dll
[Prüfpfad] c:\windows\system32\scrnsave.scr
[Prüfpfad] c:\windows\system32\sendmail.dll
[Prüfpfad] c:\windows\system32\services.exe
[Prüfpfad] c:\windows\system32\sessmgr.exe
[Prüfpfad] c:\windows\system32\shdocvw.dll
[Prüfpfad] c:\windows\system32\shell32.dll
[Prüfpfad] c:\windows\system32\shimgvw.dll
[Prüfpfad] c:\windows\system32\shmedia.dll
[Prüfpfad] c:\windows\system32\shmgrate.exe
[Prüfpfad] c:\windows\system32\shscrap.dll
[Prüfpfad] c:\windows\system32\slayerxp.dll
[Prüfpfad] c:\windows\system32\smlogsvc.exe
[Prüfpfad] c:\windows\system32\smss.exe
[Prüfpfad] c:\windows\system32\spoolsv.exe
[Prüfpfad] c:\windows\system32\stobject.dll
[Prüfpfad] c:\windows\system32\svchost.exe
[Prüfpfad] c:\windows\system32\syncui.dll
[Prüfpfad] c:\windows\system32\tcpmon.dll
[Prüfpfad] c:\windows\system32\themeui.dll
[Prüfpfad] c:\windows\system32\tlntsvr.exe
[Prüfpfad] c:\windows\system32\ups.exe
[Prüfpfad] c:\windows\system32\url.dll
[Prüfpfad] c:\windows\system32\urlmon.dll
[Prüfpfad] c:\windows\system32\usbmon.dll
[Prüfpfad] c:\windows\system32\user32.dll
[Prüfpfad] c:\windows\system32\version.dll
[Prüfpfad] c:\windows\system32\vssvc.exe
[Prüfpfad] c:\windows\system32\wbem\wmiapsrv.exe
[Prüfpfad] c:\windows\system32\wdigest.dll
[Prüfpfad] c:\windows\system32\webcheck.dll
[Prüfpfad] c:\windows\system32\wiascr.dll
[Prüfpfad] c:\windows\system32\wiashext.dll
[Prüfpfad] c:\windows\system32\wininet.dll
[Prüfpfad] c:\windows\system32\winlogon.exe
[Prüfpfad] c:\windows\system32\wldap32.dll
[Prüfpfad] c:\windows\system32\wlnotify.dll
[Prüfpfad] c:\windows\system32\wmpshell.dll
[Prüfpfad] c:\windows\system32\wshext.dll
[Prüfpfad] c:\windows\system32\wuaueng.dll
[Prüfpfad] c:\windows\system32\zipfldr.dll
[Prüfpfad] c:\windows\wc98pp.dll
[Prüfpfad] e:\clonecd\elbycheck.exe
[Prüfpfad] e:\clonecd\elbyvcdshell.dll
[Prüfpfad] e:\ipod\bin\ipodservice.exe
[Prüfpfad] e:\itunes\itunesminiplayer.dll
[Prüfpfad] e:\logitech\mouseware\system\em_exec.exe
[Prüfpfad] e:\opera\opera.exe
[Prüfpfad] e:\programme\icq\icq.exe
[Prüfpfad] e:\programme\icq\icqnet.exe
[Prüfpfad] e:\programme\icq\icqshext.dll
[Prüfpfad] e:\winamp\winampa.exe
[Prüfpfad] e:\winrar\rarext.dll
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 535
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 2971 Kb/s
Dauer:: 00:00:21
-----------------------------------------------------------------------------

[Prüfpfad] C:\
C:\hiberfil.sys - Lesefehler
>>C:\!KillBox\E6.tmp ist ein Adware-Programm Adware.LinkOptimizer
C:\Dokumente und Einstellungen\Dr.SwifT\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\SmitfraudFix\SmitfraudFix\Process.exe ist ein Hacktool Tool.Prockill
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\SmitfraudFix\SmitfraudFix\restart.exe ist ein Hacktool Tool.ShutDown.11
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF29C9.tmp - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF97F6.tmp - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF99F2.tmp - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF9A4D.tmp - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF9A8B.tmp - Lesefehler
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DFBADA.tmp - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>>C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP1\A0000038.dll ist ein Adware-Programm Adware.LinkOptimizer
C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP10\A0002406.exe - Lesefehler
C:\System Volume Information\_restore{EA1AA6C6-2103-4D53-AB53-C2B389E246A2}\RP10\A0002407.dll - Lesefehler

03.11.2006, 00:02

Sabina

Ehrenmitglied

Beiträge: 29434

#14 swifffer

1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

damit sollte das problem, was du oben beschrieben hast - behoben sein

2.
C:\!KillBox\ --alles loeschen, was du in diesem Ordner findest + den Papierkorb leeren

3.
die Windowsupdates wirst du nun nicht mehr machen koennen, aber wie ich sehe, bist du auch nicht dran interessiert... der Virus loescht die Eintraege aus der Registry. - oder willst du das in Ordnung bringen ?
__________
MfG Sabina

rund um die PC-Sicherheit

03.11.2006, 18:48

swifffer

Member

Beiträge: 41

#15 dr.web hat nun keine viren mehr gefunden.

windows updates interessieren mich nicht zwingend.

ist der virus nun entfernt ?

danke für die hilfe

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1