Große Probleme mit Malware / Virus ! (Firewall nicht mehr aktivierbar)

#1 Hall ozusammen,

vielleicht kann mir hier jemand bei meinem Problem weiterhelfen. Habe folgende Symptome:

- Regedit kann ich nicht öffnen ( von Administrator gesperrt) Ich bin der Administrator ?

- Antivir führt keinen Scan mehr durch und lässt sich nicht mehr neu installieren bzw löschen

- Firewall kann nicht mehr aktiviert werden

Habe beretis mehrere Spywar Programme installiert und scannen lassen. Es wurde auch einiges gefunden. Habe es deinstalliert aber die Probleme bestehen weiterhin.

Anbei mein Log File:

Logfile of HijackThis v1.99.1
Scan saved at 09:01:43, on 25.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\vsnpmi03.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Picture It! Premium 10\pi.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SNPMI03] C:\WINDOWS\vsnpmi03.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156076574703
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161614389046
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa_os_mms/upload_1132.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4876/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 217.237.151.225 217.237.150.205
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Bin für jede Hilfe dankbar.

#2 1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\system32\scvhost.exe

O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

pc neustarten

-----------------------------

3.
Start - Ausführen - regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

------------------------
4.
poste hier dieses log
http://virus-protect.org/artikel/tools/combofix.html

5.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

danke für die schnelle Hilfe. Bin leider absolut neu auf dem Gebiet.
Muss ich bei Punkt 1 Clean UP auch durchführen ?

Danke für die Hilfe

#4 klar, damit werden die temporaeren dateien geloescht, auf deinem rechner ist ein backdoor - Backdoor.Win32.Ciadoor.13
http://virus-protect.org/artikel/dienste/wsock32sys.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hier mein Log von Combofix:

Leider funktioniert die Firewall imer noch nicht ?

Jan - 06-10-25 11:54:47,89 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Jan\Eigene Dateien\Downloads"

((((((((((((((((((((((((((((((( Files Created from 2006-09-25 to 2006-10-25 ))))))))))))))))))))))))))))))))))


2006-10-25 09:31 816,288 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2006-10-25 09:31 4,224 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys
2006-10-25 09:31 3,968 --a------ C:\WINDOWS\system32\drivers\avgclean.sys
2006-10-25 09:31 28,416 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-10-24 16:29 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2006-10-24 16:29 27,136 --a------ C:\WINDOWS\system32\irmon.dll
2006-10-24 16:29 154,112 --a------ C:\WINDOWS\system32\irftp.exe
2006-10-24 16:23 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2006-10-24 16:23 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2006-10-24 13:36 <DIR> d-------- C:\WINDOWS\McAfee.com
2006-10-24 13:06 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-10-24 13:06 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-10-22 20:53 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-10-22 20:50 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-10-22 18:01 121,856 --a------ C:\WINDOWS\system32\xmllite.dll
2006-10-22 13:31 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-10-20 14:49 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-10-12 16:15 50,688 --a------ C:\WINDOWS\system32\wbhelp2.dll
2006-10-12 14:14 91,648 --a------ C:\WINDOWS\osl364mi.dll
2006-10-12 14:14 287,744 --a------ C:\WINDOWS\uno364mi.dll
2006-10-12 14:14 109,568 --a------ C:\WINDOWS\vos364mi.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-25 11:46 17408 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-10-25 11:38 1196267 --a------ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\CleanUp!.log
2006-10-25 10:34 -------- d-------- C:\Programme\CleanUp!
2006-10-25 10:32 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\AVG7
2006-10-25 09:30 -------- d-------- C:\Programme\Grisoft
2006-10-24 20:45 -------- d-------- C:\Programme\Picture It! Premium 10
2006-10-24 18:56 -------- d-------- C:\Programme\Internet Explorer
2006-10-24 18:36 -------- d-------- C:\Programme\Registry Mechanic
2006-10-24 18:36 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Lavasoft
2006-10-24 17:51 86064 --a------ C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-24 16:39 -------- d-------- C:\Programme\Windows Media Player
2006-10-24 16:38 -------- d-------- C:\Programme\Outlook Express
2006-10-24 16:38 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-24 14:20 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-24 14:20 -------- d-------- C:\Programme\EA GAMES
2006-10-24 13:33 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-10-23 16:52 -------- d-------- C:\Programme\MSXML 4.0
2006-10-23 16:52 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-23 16:35 -------- d-------- C:\Programme\ALDI Sued Foto Service
2006-10-23 14:14 -------- d-------- C:\Programme\ICQToolbar
2006-10-23 14:14 -------- d-------- C:\Programme\Google
2006-10-23 14:12 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\uTorrent
2006-10-23 13:10 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-23 13:09 -------- d-------- C:\Programme\GameShadow
2006-10-23 06:39 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Eidos
2006-10-22 21:12 -------- d-------- C:\Programme\Eidos
2006-10-22 20:53 -------- d-------- C:\Programme\Alcohol Soft
2006-10-22 18:31 -------- d-------- C:\Programme\Unrarit
2006-10-22 14:30 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Adobe
2006-10-22 13:25 -------- d-------- C:\Programme\Sierra
2006-10-20 15:11 -------- d-------- C:\Programme\uTorrent
2006-10-20 15:09 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\FrostWire
2006-10-20 14:49 2560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-10-16 22:49 -------- d---s---- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Microsoft
2006-10-16 22:20 -------- d-------- C:\Programme\Miranda IM
2006-10-16 13:41 -------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-10-16 13:34 -------- d-------- C:\Programme\RSD Designs
2006-10-13 18:51 -------- d-------- C:\Programme\ICQLite
2006-10-12 16:14 -------- d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2006-10-12 14:14 1001 --a------ C:\Programme\INSTALL.LOG
2006-10-12 14:14 -------- d-------- C:\Programme\Gemeinsame Dateien\fun communications
2006-10-11 21:28 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\ICQ Toolbar
2006-10-08 17:19 -------- d---s---- C:\Programme\Xfire
2006-10-08 15:56 -------- d-------- C:\Programme\PartyGaming.Net
2006-10-08 14:39 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Xfire
2006-10-03 16:25 -------- d-------- C:\Programme\OfficeUpdate11
2006-09-26 19:04 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\Google
2006-09-23 19:19 -------- d-------- C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\ICQLite
2006-09-21 20:48 -------- d-------- C:\Programme\Gemeinsame Dateien\SystemRequirementsLab
2006-09-21 20:18 -------- d-------- C:\Programme\Medion
2006-09-21 19:24 -------- d-------- C:\Programme\Activision
2006-09-12 17:51 1245184 --a------ C:\WINDOWS\system32\msxml4.dll
2006-09-08 11:26 -------- d-------- C:\Programme\Windows Defender
2006-09-05 09:11 -------- d-------- C:\Programme\Microsoft Works
2006-09-05 09:11 -------- d-------- C:\Programme\Microsoft Office
2006-09-04 17:23 -------- d-------- C:\Programme\Microsoft Visual Studio
2006-09-04 08:34 -------- d-------- C:\Programme\Lexware
2006-09-04 08:34 -------- d-------- C:\Programme\Java
2006-09-04 08:29 -------- d--h----- C:\Programme\Uninstall Information
2006-09-04 08:29 -------- d-------- C:\Programme\DATA_BECKER
2006-08-28 10:23 5906432 --a------ C:\WINDOWS\system32\ieframe.dll
2006-08-28 10:23 50688 --a------ C:\WINDOWS\system32\msfeedsbs.dll
2006-08-28 10:23 457728 --a------ C:\WINDOWS\system32\msfeeds.dll
2006-08-28 10:23 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-08-28 10:23 225792 --a------ C:\WINDOWS\system32\webcheck.dll
2006-08-28 10:23 175616 --a------ C:\WINDOWS\system32\ieui.dll
2006-08-28 10:23 152064 --a------ C:\WINDOWS\system32\msls31.dll
2006-08-28 10:09 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-08-28 10:09 206336 --a------ C:\WINDOWS\system32\WinFXDocObj.exe
2006-08-28 10:08 40448 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-08-28 10:08 105472 --a------ C:\WINDOWS\system32\url.dll
2006-08-28 10:08 100352 --a------ C:\WINDOWS\system32\occache.dll
2006-08-28 10:07 16896 --a------ C:\WINDOWS\system32\corpol.dll
2006-08-28 10:05 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-08-28 10:05 378368 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-08-28 10:05 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-08-28 10:05 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-08-28 10:04 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-08-28 10:04 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-08-28 10:04 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-08-28 10:04 122880 --a------ C:\WINDOWS\system32\advpack.dll
2006-08-28 10:04 11776 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-08-28 10:02 61440 --a------ C:\WINDOWS\system32\icardie.dll
2006-08-28 10:02 12288 --a------ C:\WINDOWS\system32\msfeedssync.exe
2006-08-28 10:01 35328 --a------ C:\WINDOWS\system32\imgutil.dll
2006-08-28 10:01 262656 --a------ C:\WINDOWS\system32\iertutil.dll
2006-08-28 09:59 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-08-28 09:27 380928 --a------ C:\WINDOWS\system32\ieapfltr.dll
2006-08-28 09:25 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-08-28 09:22 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-08-10 19:45 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"AOLMIcon"="C:\\Programme\\Gemeinsame Dateien\\AOLSHARE\\AOLMIcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Dit"="Dit.exe"
"CHotkey"="mHotkey.exe"
"ledpointer"="CNYHKey.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"SNPMI03"="C:\\WINDOWS\\vsnpmi03.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,de,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
"InfoCockpit"="C:\\Programme\\T-Online\\T-Online_Software_6\\Info-Cockpit\\IC_START.EXE /nosplash"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{553858A7-4922-4e7e-B1C1-97140C1C16EF}"="IE Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job

Completion time: 06-10-25 11:55:41.31
C:\ComboFix.txt ... 06-10-25 11:55




Und hier der letzte Log:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\system32

25.10.2006 11:46 2.206 wpa.dbl
25.10.2006 11:46 50.955 nvapps.xml
25.10.2006 10:27 175.886 ckl009.dat
24.10.2006 17:13 266.208 FNTCACHE.DAT
24.10.2006 17:03 54.886 perfc009.dat
24.10.2006 17:03 394.958 perfh007.dat
24.10.2006 17:03 383.736 perfh009.dat
24.10.2006 17:03 65.950 perfc007.dat
24.10.2006 17:03 910.314 PerfStringBackup.INI
24.10.2006 16:43 39.503 $winnt$.inf
24.10.2006 16:39 16.832 amcompat.tlb
24.10.2006 16:39 23.392 nscompat.tlb
24.10.2006 16:38 488 logonui.exe.manifest
24.10.2006 16:38 488 WindowsLogon.manifest
24.10.2006 16:38 749 sapi.cpl.manifest
24.10.2006 16:38 749 ncpa.cpl.manifest
24.10.2006 16:38 749 cdplayer.exe.manifest
24.10.2006 16:38 749 nwc.cpl.manifest
24.10.2006 16:38 749 wuaucpl.cpl.manifest
24.10.2006 16:37 23.588 emptyregdb.dat
24.10.2006 16:36 525 mapisvc.inf
24.10.2006 16:24 860 oeminfo.ini
22.10.2006 13:31 98.304 CmdLineExt.dll
12.10.2006 16:16 77.408 NULL
04.10.2006 13:03 9.639.336 MRT.exe
12.09.2006 17:51 1.245.184 msxml4.dll
04.09.2006 08:34 5.531 jupdate-1.5.0_05-b05.log
29.08.2006 10:52 1.052.672 ieframe.dll.mui
29.08.2006 10:51 12.288 advpack.dll.mui
28.08.2006 10:23 3.494.400 mshtml.dll
28.08.2006 10:23 472.576 mshtmled.dll
28.08.2006 10:23 413.696 vbscript.dll
28.08.2006 10:23 225.792 webcheck.dll
28.08.2006 10:23 5.906.432 ieframe.dll
28.08.2006 10:23 50.688 msfeedsbs.dll
28.08.2006 10:23 809.472 wininet.dll
28.08.2006 10:23 152.064 msls31.dll
28.08.2006 10:23 670.720 mstime.dll
28.08.2006 10:23 175.616 ieui.dll
28.08.2006 10:23 26.624 jsproxy.dll
28.08.2006 10:23 130.560 extmgr.dll
28.08.2006 10:23 457.728 msfeeds.dll
28.08.2006 10:23 1.138.688 urlmon.dll
28.08.2006 10:23 189.440 iepeers.dll
28.08.2006 10:09 443.904 html.iec
28.08.2006 10:09 78.336 ieencode.dll
28.08.2006 10:09 206.336 WinFXDocObj.exe
28.08.2006 10:09 1.812.992 inetcpl.cpl
28.08.2006 10:08 105.472 url.dll
28.08.2006 10:08 192.000 msrating.dll
28.08.2006 10:08 40.448 licmgr10.dll
28.08.2006 10:08 100.352 occache.dll
28.08.2006 10:07 16.896 corpol.dll
28.08.2006 10:05 378.368 iedkcs32.dll
28.08.2006 10:05 229.376 ieaksie.dll
28.08.2006 10:05 152.064 ieakeng.dll
28.08.2006 10:05 71.680 admparse.dll
28.08.2006 10:04 55.296 iesetup.dll
28.08.2006 10:04 92.672 inseng.dll
28.08.2006 10:04 11.776 ieudinit.exe
28.08.2006 10:04 43.008 iernonce.dll
28.08.2006 10:04 54.784 ie4uinit.exe
28.08.2006 10:04 122.880 advpack.dll
28.08.2006 10:04 487.424 jscript.dll
28.08.2006 10:02 12.288 msfeedssync.exe
28.08.2006 10:02 61.440 icardie.dll
28.08.2006 10:02 346.624 dxtmsft.dll
28.08.2006 10:02 44.032 pngfilt.dll
28.08.2006 10:01 35.328 imgutil.dll
28.08.2006 10:01 213.504 dxtrans.dll
28.08.2006 10:01 262.656 iertutil.dll
28.08.2006 09:59 45.568 mshta.exe
28.08.2006 09:59 66.560 tdc.ocx
28.08.2006 09:30 56.262 ieuinit.inf
28.08.2006 09:27 380.928 ieapfltr.dll
28.08.2006 09:25 48.128 mshtmler.dll
28.08.2006 09:22 161.792 ieakui.dll
28.08.2006 09:15 1.383.424 mshtml.tlb
15.08.2006 19:32 1.497.088 shdocvw.dll
15.08.2006 19:32 474.624 shlwapi.dll
15.08.2006 19:32 1.022.976 browseui.dll
10.08.2006 19:45 8.798 icrav03.rat
10.08.2006 19:45 15.584 spmsg.dll
10.08.2006 19:45 22.752 spupdsvc.exe
10.08.2006 19:45 15.820 IE7Eula.rtf
10.08.2006 19:44 2.451.824 ieapfltr.dat
07.08.2006 09:50 1.484.592 LegitCheckControl.DLL



Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\DOKUME~1\Jan\LOKALE~1\Temp

25.10.2006 11:56 204 jusched.log
25.10.2006 11:53 16.384 ~DFDB8B.tmp
25.10.2006 11:53 512 ~DFDB90.tmp
25.10.2006 11:46 16.384 ~DF1D89.tmp
4 Datei(en) 33.484 Bytes
0 Verzeichnis(se), 34.738.671.616 Bytes frei




Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS

25.10.2006 11:52 465.245 WindowsUpdate.log
25.10.2006 11:46 157 wiadebug.log
25.10.2006 11:46 50 wiaservc.log
25.10.2006 11:46 0 0.log
25.10.2006 11:46 4.246 ModemLog_Agere Systems PCI Soft Modem.txt
25.10.2006 11:45 2.048 bootstat.dat
25.10.2006 11:45 32.582 SchedLgU.Txt
25.10.2006 10:24 92.027 setupact.log
25.10.2006 08:51 116 NeroDigital.ini
24.10.2006 18:56 17.496 spupdsvc.log
24.10.2006 18:53 47.694 ie7_main.log
24.10.2006 18:53 138.926 iis6.log
24.10.2006 18:53 353.114 tsoc.log
24.10.2006 18:53 189.303 ntdtcsetup.log
24.10.2006 18:53 320.509 comsetup.log
24.10.2006 18:53 1.393 imsins.log
24.10.2006 18:53 48.342 ocmsn.log
24.10.2006 18:53 124.023 ie7.log
24.10.2006 18:53 44.699 msgsocm.log
24.10.2006 18:53 446.174 ocgen.log
24.10.2006 18:53 939.725 FaxSetup.log
24.10.2006 18:53 448.707 setupapi.log
24.10.2006 18:53 99.284 updspapi.log
24.10.2006 18:51 1.393 imsins.BAK
24.10.2006 18:51 25.347 IDNMitigationAPIs.log
24.10.2006 18:51 23.690 NLSDownlevelMapping.log
24.10.2006 18:50 18.929 KB915865.log
24.10.2006 16:51 5.822 COM+.log
24.10.2006 16:47 883.242 setuplog.txt
24.10.2006 16:39 86.281 wmsetup.log
24.10.2006 16:39 316.640 WMSysPr9.prx
24.10.2006 16:39 4.475 OEWABLog.txt
24.10.2006 16:39 4.161 ODBCINST.INI
24.10.2006 16:38 749 WindowsShell.Manifest
24.10.2006 16:38 329 setuperr.log
24.10.2006 16:38 771 win.ini
24.10.2006 16:37 881 DtcInstall.log
24.10.2006 16:37 9.025 sessmgr.setup.log
24.10.2006 16:36 373 cmsetacl.log
24.10.2006 16:35 71 pnplog.txt
24.10.2006 16:23 5.752 regopt.log
24.10.2006 16:23 227 system.ini
24.10.2006 16:02 149 wsdu.log
24.10.2006 16:02 11.589 WINNT32.LOG
24.10.2006 16:01 1.395 UPGRADE.TXT
24.10.2006 16:01 1.659 DHCPUPG.LOG
24.10.2006 14:28 36.793 DirectX.log
22.10.2006 18:01 6.113 KB914440.log
22.10.2006 18:01 45.466 KB918899.log
22.10.2006 18:01 22.531 KB924496.log
22.10.2006 18:00 11.936 KB904942.log
21.10.2006 17:28 54.156 QTFont.qfn
21.10.2006 14:19 211 uno.ini
20.10.2006 14:49 2.560 _MSRSTRT.EXE
11.10.2006 20:09 13.604 KB924191.log
11.10.2006 20:09 13.208 KB922819.log
11.10.2006 20:09 11.422 KB923414.log
11.10.2006 20:08 9.159 KB923191.log
28.09.2006 19:30 14.416 KB925486.log
21.09.2006 20:43 1.073.307.648 MEMORY.DMP
21.09.2006 19:28 276 game.ini
21.09.2006 14:41 43 gswin32.ini
19.09.2006 16:57 19.906 WgaNotify.log
16.09.2006 20:32 1.409 QTFont.for
14.09.2006 19:02 13.073 KB920685.log
14.09.2006 19:02 14.911 KB920872.log
14.09.2006 19:02 13.224 KB919007.log
14.09.2006 19:02 9.264 KB922582.log
04.09.2006 17:24 400 ODBC.INI
04.09.2006 09:34 680 MKDEMSG.LOG
04.09.2006 09:33 3.072 MKDEWE.TRN
04.09.2006 09:23 3.126 tm.ini
04.09.2006 09:08 51 tdf.dii
04.09.2006 08:29 665 KB829558.log
04.09.2006 08:29 19.520 dasetup.log
22.08.2006 11:56 3.846 ModemLog_Creatix V.92 Data Fax Modem.txt
20.08.2006 18:00 44.264 KB917734.log
20.08.2006 18:00 65.018 KB899587.log
20.08.2006 18:00 62.594 KB885835.log
20.08.2006 18:00 60.731 KB885836.log
20.08.2006 18:00 31.319 KB920214.log
20.08.2006 18:00 31.133 KB921883.log
20.08.2006 17:59 43.478 KB911927.log
20.08.2006 17:59 30.437 KB922616.log
20.08.2006 17:59 61.398 KB901017.log
20.08.2006 17:59 61.844 KB899591.log
20.08.2006 17:59 61.559 KB896424.log
20.08.2006 17:59 61.549 KB893756.log
20.08.2006 17:59 45.094 KB911280.log
20.08.2006 17:59 45.482 KB911562.log
20.08.2006 17:59 57.566 KB896423.log
20.08.2006 17:59 40.519 KB900485.log
20.08.2006 17:59 44.420 KB917159.log
20.08.2006 17:59 56.564 KB873339.log
20.08.2006 17:58 29.096 KB921398.log
20.08.2006 17:58 58.554 KB896358.log
20.08.2006 17:58 48.149 KB910437.log
20.08.2006 17:58 29.999 KB911564.log
20.08.2006 17:57 25.016 KB920670.log
20.08.2006 17:57 49.133 KB891781.log
20.08.2006 17:57 39.899 KB918439.log
20.08.2006 17:57 57.281 KB902400.log
20.08.2006 17:57 41.066 KB890046.log
20.08.2006 17:57 35.892 KB914388.log
20.08.2006 17:57 33.631 KB917344.log
20.08.2006 17:57 39.828 KB905414.log
20.08.2006 17:57 32.675 KB917953.log
20.08.2006 17:57 37.266 KB901214.log
20.08.2006 17:57 17.105 KB917422.log
20.08.2006 17:57 36.586 KB888302.log
20.08.2006 17:56 38.800 KB900725.log
20.08.2006 17:56 35.472 KB912919.log
20.08.2006 17:56 23.086 KB886185.log
20.08.2006 17:56 30.258 KB916595.log
20.08.2006 17:56 11.431 KB885884.log
20.08.2006 17:56 33.287 KB904706.log
20.08.2006 17:56 26.659 KB901190.log
20.08.2006 17:56 32.165 KB908531.log
20.08.2006 17:56 34.009 KB905749.log
20.08.2006 17:56 27.195 KB913580.log
20.08.2006 17:56 30.360 KB896428.log
20.08.2006 17:55 32.840 KB911567.log
20.08.2006 17:55 28.855 KB908519.log
20.08.2006 17:55 13.957 KB920683.log
20.08.2006 17:55 25.103 KB914389.log
20.08.2006 17:55 32.492 KB890859.log
20.08.2006 17:12 29.522 KB894391.log
20.08.2006 14:28 22.290 KB893803v2.log


Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\Temp





Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 083B-2EA7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.10.2006 16:38 65 desktop.ini
21.08.2006 10:31 394.800 sysreqlab.dll
21.08.2006 07:12 667 sysreqlab.osd
01.08.2006 14:47 2.332.424 PhotoUploader.ocx
01.08.2006 14:47 375 PhotoUploader.inf
27.07.2006 13:52 367 LegitCheckControl.inf
24.04.2006 13:59 206 PIXACODnDUpload.inf
20.04.2006 13:44 24.393 tra2_2_5.rc
19.04.2006 14:26 1.363.968 PIXACODnDUpload.ocx
24.02.2006 12:49 882 mcfscan.inf
02.12.2005 11:55 5.101 swflash.inf
10.11.2005 15:05 876 jinstall-1_5_0_06.inf
14.10.2005 10:52 2.355.200 upload.ocx
14.10.2005 09:53 851 upload.inf
14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
29.06.2005 17:17 227 opuc.inf
26.05.2005 04:19 291 wuweb.inf
26.05.2005 04:19 293 muweb.inf
17.11.2004 23:44 114.728 Zintro.ocx
08.09.2004 22:38 1.271 erma.inf
06.04.2004 20:03 172.072 MessengerStatsPAClient.dll
22 Datei(en) 6.882.948 Bytes
0 Verzeichnis(se), 34.738.741.248 Bytes frei

#6 1.
C:\WINDOWS\system32\ckl009.dat -> loeschen (in dieser dat sind alle deine Daten aufgezeichnet, die zum "Besitzer" vom Backdoor uebermittelt werden ...)

2.
Gehe in die registry

bearbeiten - suchen - scvhost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe" -> loeschen

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"Generic Host Process"="C:\\WINDOWS\\system32\\scvhost.exe" -> loeschen


3.
PC neustarten

4.
scanne, stelle alles auf remove und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Es sind immer noch infizierte Dateien gefunden worden ????

Leider funnktioniert das deinstallieren meines ANtivirenProgramm noch nicht richtig. Möchte es neuinstallieren aber dafür muss die alte version erst runter ???!!! Wissen Sie woran das liegen könnte ? Er sagt immer eine .dll Datei wäre in Verwendung !!!!


Hier mein Scan Report von CSpy:


Spyware Scan Details
Start Date: 25.10.2006 12:34:18
End Date: 25.10.2006 13:13:18
Total Time: 39 mins

Detected spyware

MyGlobalSearch.Toolbar Potentially Unwanted Program more information...
Details: MyGlobalSearch.Toolbar is an IE plugin with its own Search Field.
Status: Ignored

Infected files detected
c:\programme\myglobalsearch\bar\history\search

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar pid IK
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Dir C:\Programme\MyGlobalSearch\bar\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar PluginPath C:\Programme\MyGlobalSearch\bar\1.bin\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar CurInstall 1
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar sr 0
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar pl 7
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Id AA21F8E4-9E95-485C-B1B8-C29B733D74AD
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar CacheDir C:\Programme\MyGlobalSearch\bar\Cache\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar HistoryDir C:\Programme\MyGlobalSearch\bar\History\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar SettingsDir C:\Programme\MyGlobalSearch\bar\Settings\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar ConfigDateStamp 2006080806
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Flags 530


PartyPoker Potentially Unwanted Program more information...
Details: PartyPoker is an online gambling application that requires the user to download its software in order to play.
Status: Ignored

Infected files detected
C:\Programme\PartyGaming.Net\PartyPokerNet\images\ppicon.ico
C:\Programme\PartyGaming.Net\PartyPokerNet\images\pp_browser.ico


WhenU.Save Adware (General) more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Quarantined

Infected registry entries detected
HKEY_CLASSES_ROOT\wusn.1
HKEY_CLASSES_ROOT\wusn.1 WUSN_Id


WhenU.WhenUSearch Low Risk Adware more information...
Details: WhenU.WhenUSearch is a desktop search toolbar that displays links to advertised offers in response to users' surfing behavior and opens paid search results when users perform searches through the toolbar's search mechanism.
Status: Ignored

Infected registry entries detected
HKEY_CLASSES_ROOT\WUSN.1
HKEY_CLASSES_ROOT\WUSN.1 WUSN_Id


Backdoor.Ciadoor Backdoor more information...
Status: Quarantined

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32 C:\WINDOWS\system32\wsock32.sys
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\ProgID N.Cs4
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\TypeLib {C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}\VERSION 3.0
HKEY_CLASSES_ROOT\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C} N.Cs4
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib {C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39}\TypeLib Version 3.0
HKEY_CLASSES_ROOT\Interface\{0958C4C9-77B0-4AA8-9364-7886BFCA7E39} Cs4
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\0\win32 C:\WINDOWS\system32\wsock32.sys
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0\HELPDIR C:\WINDOWS\system32
HKEY_CLASSES_ROOT\TypeLib\{C9F1C5A0-F3D8-48E2-8B8C-3E86B4CAC7E3}\3.0 N
HKEY_CLASSES_ROOT\N.Cs4
HKEY_CLASSES_ROOT\N.Cs4\Clsid {E14DCE67-8FB7-4721-8149-179BAA4D792C}
HKEY_CLASSES_ROOT\N.Cs4 N.Cs4[/b]

#8 Quarantined - ist nicht zu empfehlen, ich schrieb : remove.
loesche die quarantaene und scanne noch mal

c:\programme\myglobalsearch - loeschen lassen !
__________
MfG Sabina

rund um die PC-Sicherheit