Home » Viren, Trojaner & Malware Forum » smalldrp.aio Trojaner unkillbar? » Themenansicht

smalldrp.aio Trojaner unkillbar?
#0
27.10.2006, 21:14
wopvista
...neu hier

Beiträge: 6
#1 Hallo Fans!
Bitte um Hilfe an alle, die von Winlogon Notify: (\ständig neu generiert) und Smalldrp.AIO (AiO) befallen sind. Bei Norman.de einzige Fundstelle aber kein Removal Tool gefunden.
Dieser Troj ist so hartnäckig, er versperrt den Weg ins Netz und ist nicht ausfindig zu machen, wo und wie er gekillt werden kann.
Alle Spy und Abwehrprogramme getestet, deaktivieren der Systemwiederherstellung Winxp und sonstiger Tricks brachten keine Besserung.
Sorry, hier kann vielleicht nur eine Neuinst. helfen; wäre auch angebrachter aufgrund des Zeitaufwandes, aber der Reiz, diesen Spinner zu finden und ans Board zu heften ist größer.
Vielen Dank allen, die bis hierher gelesen haben, beim Tippen kehrt zum ersten Mal sowas wie ein bischen Ruhe ein.
Danke, wenn jemand etwas im Rucksack hat, und Lösung anbieten kann.
wopvista.
Seitenanfang Seitenende
27.10.2006, 21:17
virenfinder
Member

Beiträge: 3716
#2 fangen wir mal mit nem hijackthis logfile an:
www.hijackthis.de dort das programm downloaden
instaliere es in einen eigenen ordner.
öffne die hijackthis.exe klicke auf scan and safe log und poste dieses
Seitenanfang Seitenende
27.10.2006, 23:42
wopvista
...neu hier

Themenstarter

Beiträge: 6
#3 Hi Member virenfinder...... wer bist du?
vielen Dank für Deine Antwort.
Hijack ist sozusagen unser Liebling,
seit langem im Einsatz und sehr erfolgreich. Ein Pflichtprogramm vor der Kür!
(Neulich bekam ich meine Euro-Spende von Mathias Mattner zurück, weil ein Hartz VI - Empfänger mal was umsonst haben soll --- sehr wohlwollend, auch hier an dieser Stelle dafür DANKE!)

Alles, wirklich alles, was vorher gefunden wurde, ist gelöscht,
die Reste sind dies:
Bevor Du liest:
09 ebay aus einer toolbar ist entfernt
023 symantec ist ebenfalls richtig deinstalliert, mit tuneup und regclean nachgewischt

was mich sorgt sind:
020 winlogon notify : generiert nach jedem Neustart neue .dll
023 service Windows Man Service : die .exe ist nicht zu finden
und bei offener internetverbindung ohne zutun werden neue Explorerfenster gestartet

Beachten Sie: Ihr PC hat Spuren.....
wollen Sie jetzt DriveCleaner kostenlos installieren

und alle pings auf die server bringen auch nicht weiter

als dann noch Quarantäne:
pro[1].exe 172 KB
pro3_install.exe 172 KB
guard.tmp 230 KB
= diese durch Smalldrp.AIO definiert
Norman hat das Teil in seiner Virenliste,
aber nichts zum killen.

Ein Office Rechner
WinXP Home SP2 , P4 2.5 Ghz 512 RAM
Office 2000 alles per Update auf aktuellem Stand
RAM stets geleert,
PortScan
Softwareliste sauber gepflegt, nur bekannte Programme
HDD - scan regelmässig einmal pro woche etc.

während ich nun geschrieben habe an Rechner No.6
war der befallene Laptop stets online und die öffnenden
Browserfenster haben durch deaktivierte Add-Ons und PopUps
keine Inhalte angezeigt.

Falls Du mehr über mich wissen willst,
sende bitte eine Mail an billewolf@gmx.de
Soweit erstmal
und vielen Dank noch einmal für die Kontaktaufnahme.
Denk auch an schlafen gehen....
Herzlichen Gruß
wopvista

Logfile of HijackThis v1.99.1
Scan saved at 21:11:34, on 27.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Norman\Bin\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\winmgr.exe
C:\Norman\Nvc\BIN\NVCSCHED.EXE
C:\Norman\Nvc\bin\nvcoas.exe
C:\Norman\Nvc\BIN\nipsvc.exe
C:\Norman\bin\NJEEVES.EXE
C:\WINDOWS\Explorer.EXE
C:\Norman\bin\ZLH.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Norman\Nvc\BIN\NIP.EXE
C:\Norman\Nvc\bin\cclaw.exe
C:\Norman\NVC\Bin\Nvcut.exe
C:\Programme\1Pflege\Hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm (file missing)
O20 - Winlogon Notify: RunServicesOnce - C:\WINDOWS\system32\t0r80a9ued.dll
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Microsoft Windows Man Service (Windows Man Service) - Unknown owner - C:\WINDOWS\winmgr.exe

_______________________________________________________________
Wir kriegen ihn...........oder?
Dieser Beitrag wurde am 28.10.2006 um 09:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.10.2006, 09:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 wopvista

1.
Look2Me-Destroyer V1.0.5 - abarbeiten
http://virus-protect.org/l2mfix.html

2.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
-------------------------------------------------------------------

Info. drivecleaner_2006
http://virus-protect.org/artikel/spyware/drivecleaner_2006.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.10.2006, 10:48
wopvista
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina, vielen Dank für prompte Antwort.
L2me hatte ich bereits vorher erledigt, vergessen zu posten.
Aber wahrscheinlich dadurch keinen Erfolg, weil wir von unterschiedlichen Versionen sprechen. Dein Link (Text) V1.0.5 führt zur Version V1.0.12.
<Eigenschaften: Dateiversion 1.0.0.12
Beschreibung: Removal Tool for Look2Me adware
Copyright: atribune.org
Produktversion: 1.00.0012 (??)>
Was tun? Oder ist das unerheblich? Erster Scan V1.0.12 läuft.
gefunden: C:\Windows\system32\lv2209foe.dll
Danach arbeite ich Deine anderen Empfehlungen ab.
Liebe Grüße
Wolfgang

Nachtrag:
L2Me-Destoyer fertig, shutdown. Dazwischen meldet sich Norman. Hat in Quarantäne verschoben.... Werbung: W32/Look2Me.DJ ; Standort: C:\SystemVolume.
Streiten sich jetzt beide Programme? Und keiner vernichtet? Jedenfalls kann ich vor Done removing infected files! und OK nicht auf die Norman Quarantäne zugreifen.
Lieben Gruß
Wolfgang

ERFOLG:
Hallo Sabina
combofix hats geschafft,
jetzt stört nur noch den Zugang ins Internet eine nicht saubere Symantec NetworkDriverService Datei. Die wird per Hand erledigt.
Norman Quarantäne sauber, RegClean alles sauber, Hijack keine Befunde mehr.
Alles ok. Nun folgen Belastungsteste.
Vielen Dank für die freundliche Unterstützung.
Dieser Beitrag wurde am 28.10.2006 um 11:40 Uhr von wopvista editiert.
Seitenanfang Seitenende
28.10.2006, 12:20
virenfinder
Member

Beiträge: 3716
#6 hallo............
edit (MOD)
Dieser Beitrag wurde am 28.10.2006 um 15:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.10.2006, 15:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 wopvista

du solltest am besten alle punkte abarbeiten, und die logs posten, wenn ich dir helfen soll :=
meiner Erfahrung nach, findet man immer noch was ;) ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.10.2006, 18:50
wopvista
...neu hier

Themenstarter

Beiträge: 6
#8 ja, danke, ist gut gemeint und wahrscheinlich auch richtig! Aber:
meine Auftraggeberin will den Inhalt dieses Rechners so wenig wie möglich preisgeben. Und da alle anschließenden Scans ohne Befund sind......
Bereits im Firmennetz eingesetzt, und dortige Rechner alle mit gleichem Muster gescannt. Keine Funde, zum Glück.
Wir arbeiten jetzt so weiter.
Vielen Dank
wopvista

Noch eine Nachfrage: habt Ihr ggf. schon Kenntnis über ein gutes Release eines Virenschutzprogramms für Vista?
Seitenanfang Seitenende
01.11.2006, 08:29
wopvista
...neu hier

Themenstarter

Beiträge: 6
#9 Hallo Sabina,
bisher alles ok.
Dennoch ließ mich Deine Empfehlung nicht los:
hier also die datbat Ergebnisse:
down:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08EC-213F

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.03.2006 12:28 657 default.inf
04.09.2003 13:14 3.759 swflash.inf
22.08.2003 21:10 226 opuc.inf
30.06.2003 22:41 1.689 WMV9VCM.inf
05.12.2002 10:11 65 desktop.ini
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
7 Datei(en) 8.255 Bytes
0 Verzeichnis(se), 13.707.983.360 Bytes frei
_______________-
sys
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08EC-213F

Verzeichnis von C:\

01.11.2006 08:21 0 sys.txt
01.11.2006 08:21 630 down.txt
01.11.2006 08:21 117 tmp.txt
01.11.2006 08:20 10.904 system.txt
01.11.2006 08:20 396 systemtemp.txt
01.11.2006 08:17 95.645 system32.txt
01.11.2006 07:38 805.306.368 pagefile.sys
31.10.2006 15:58 2.141 TDSLCheck.txt
28.10.2006 10:54 25.345 ComboFix.txt
26.10.2006 14:30 211 boot.ini
26.10.2006 14:14 47.564 NTDETECT.COM
26.10.2006 14:14 251.184 ntldr
05.12.2002 10:12 0 IO.SYS
05.12.2002 10:12 0 CONFIG.SYS
05.12.2002 10:12 0 AUTOEXEC.BAT
05.12.2002 10:12 0 MSDOS.SYS
05.12.2002 09:53 512 BOOTSECT.DOS
29.08.2002 13:00 4.952 bootfont.bin
18 Datei(en) 805.745.969 Bytes
0 Verzeichnis(se), 13.707.982.336 Bytes frei
_________________
system
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08EC-213F

Verzeichnis von C:\WINDOWS

01.11.2006 08:16 446.402 ntbtlog.txt
01.11.2006 07:39 2.048 bootstat.dat
01.11.2006 07:38 32.592 SchedLgU.Txt
01.11.2006 07:38 562.217 WindowsUpdate.log
01.11.2006 06:53 0 0.log
31.10.2006 23:36 139.915 setupapi.log
31.10.2006 22:39 54.156 QTFont.qfn
31.10.2006 22:38 912 nsw.log
31.10.2006 22:17 69.136 _detmp.1
31.10.2006 22:17 1.409 QTFont.for
31.10.2006 22:16 9.309 avmcoins.log
31.10.2006 22:16 2.098 avmadd32.log
31.10.2006 22:14 472 avmenum32.log
31.10.2006 16:58 8.586 ModemLog_TOSHIBA Software Modem AMR.txt
31.10.2006 14:12 37 vbaddin.ini
31.10.2006 13:36 844 win.ini
28.10.2006 14:12 400 ODBC.INI
27.10.2006 13:00 7.680 Thumbs.db
27.10.2006 10:07 222.620 setupact.log
26.10.2006 18:51 108.168 iis6.log
26.10.2006 18:51 166.647 comsetup.log
26.10.2006 18:51 4.625 imsins.log
26.10.2006 18:51 103.687 ntdtcsetup.log
26.10.2006 18:51 281.591 tsoc.log
26.10.2006 18:51 18.993 ocmsn.log
26.10.2006 18:51 398.073 ocgen.log
26.10.2006 18:51 36.417 msgsocm.log
26.10.2006 18:51 697.355 FaxSetup.log
26.10.2006 17:05 536 KB896423Uninst.log
26.10.2006 16:53 491 wmsetup.log
26.10.2006 16:47 30.571 spupdsvc.log
26.10.2006 16:46 731 DtcInstall.log
26.10.2006 16:44 316.640 WMSysPr9.prx
26.10.2006 16:43 1.519 OEWABLog.txt
26.10.2006 16:41 4.757 imsins.BAK
26.10.2006 16:34 157.182 KB921883.log
26.10.2006 16:32 433.218 svcpack.log
26.10.2006 16:32 254.681 KB921398.log
26.10.2006 16:29 63.565 updspapi.log
26.10.2006 14:30 200 cmsetacl.log
26.10.2006 14:29 3.685 sessmgr.setup.log
26.10.2006 14:00 565 medctroc.Log
26.10.2006 11:04 0 keyboard1.dat
26.10.2006 00:24 1.372 xpsp1hfm.log
26.10.2006 00:24 11.998 KB835732.log
26.10.2006 00:21 2.072 vminst.log
25.10.2006 23:48 10.141 WGA.log
25.10.2006 23:47 8.260 KB898461.log
25.10.2006 23:47 11.807 KB893803v2.log
25.10.2006 23:46 6.088 KB842773.log
25.10.2006 16:01 177 DelDir.BEN
25.10.2006 15:14 59.073 Desktop.exe
24.10.2006 14:35 264 System.ini
22.10.2006 21:16 94.720 winmgr.exe
18.10.2006 23:16 95.232 alrs.exe
12.07.2006 12:31 252.928 WRUninstall.dll
11.02.2006 00:38 50 wiaservc.log
11.02.2006 00:38 216 wiadebug.log
10.02.2006 18:21 574 PowerReg.dat
19.12.2005 22:05 3.338 Windows Update.log
17.11.2005 22:05 53.248 UpdtNv28.exe
11.08.2005 13:47 16.685 SYMEVENT.LOG
27.05.2005 00:22 10.752 hh.exe

____________________________________
system32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 08EC-213F

Verzeichnis von C:\WINDOWS\system32

31.10.2006 23:25 314.818 perfh009.dat
31.10.2006 23:25 41.774 perfc009.dat
31.10.2006 23:25 320.358 perfh007.dat
31.10.2006 23:25 50.252 perfc007.dat
31.10.2006 23:25 733.874 PerfStringBackup.INI
30.10.2006 14:34 1.158 wpa.dbl
27.10.2006 14:18 116.560 FNTCACHE.DAT
26.10.2006 16:37 255 spupdwxp.log
25.10.2006 23:30 13.312 Thumbs.db
25.10.2006 21:52 100 LuResult.txt
25.10.2006 16:16 10.148 ikhcore.log
12.10.2006 19:48 82 drrm.bat
04.10.2006 12:03 9.639.336 MRT.exe
02.10.2006 16:24 24.072 uxtuneup.dll
15.09.2006 21:52 91.904 S32EVNT1.DLL
13.09.2006 06:09 1.110.528 msxml3.dll
24.08.2006 19:16 9.728 TFTP900
20.08.2006 13:06 83.456 TFTP3048
21.07.2006 09:29 72.704 hlink.dll
13.07.2006 14:34 8.494.592 shell32.dll
12.07.2006 12:31 8.704 ssiefr.EXE
12.07.2006 12:31 208.896 WRLogonNtf.dll
12.07.2006 12:31 20.992 wrlzma.dll
Dieser Beitrag wurde am 01.11.2006 um 16:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.11.2006, 13:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 wopvista

das sieht boese aus, es gibt u.a. anonyme FTP-Server, die sich ins System eingeloggt haben und runterladen, was sie wollen, also Zugriff aufs System haben.

Zitat

O23 - Service: Microsoft Windows Man Service (Windows Man Service) - Unknown owner - C:\WINDOWS\winmgr.exe

W32/Rbot-XC kann sich auf remote Netzwerkfreigaben verbreiten, die durch einfache Kennwörter geschützt sind, sowie auf Computer, die für häufige Schwachstellen anfällig sind. Der Wurm öffnet außerdem eine Backdoor, die unbefugten Fernzugriff auf den infizierten Computer über das IRC-Netzwerk ermöglicht,
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

_______________
ist fuer mich-............

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Man Service

Files to delete:
C:\WINDOWS\system32\TFTP900
C:\WINDOWS\system32\TFTP3048
C:\WINDOWS\system32\drrm.bat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\winmgr.exe
C:\WINDOWS\Desktop.exe



__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.11.2006 um 13:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.11.2006, 16:12
wopvista
...neu hier

Themenstarter

Beiträge: 6
#11 man soll doch lieber auf sabina hören,
dann nehme ich den Rechner aus der Firma, und
halte ihn erst mal isoliert.....
und hier kommt combo aber fix :
- 06-11-01 16:07:00.74 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\\Desktop\ VirenKampf\2Combofix"

((((((((((((((((((((((((((((((( Files Created from 2006-10-01 to 2006-11-01 ))))))))))))))))))))))))))))))))))


2006-10-31 16:33 47,261 -rah----- C:\WINDOWS\system32\drivers\ftser2k.sys
2006-10-31 16:32 18,005 -rah----- C:\WINDOWS\system32\drivers\ftdibus.sys
2006-10-31 14:03 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-10-31 13:36 15,360 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2006-10-31 13:36 14,848 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2006-10-31 13:36 13,824 --a------ C:\WINDOWS\system32\drivers\SSFS041A.sys
2006-10-31 13:36 117,248 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2006-10-26 22:38 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2006-10-26 14:27 95,424 --------- C:\WINDOWS\system32\drivers\slnthal.sys
2006-10-26 14:27 9,728 --------- C:\WINDOWS\system32\proxycfg.exe
2006-10-26 14:27 78,464 --------- C:\WINDOWS\system32\drivers\usbvideo.sys
2006-10-26 14:27 73,216 --------- C:\WINDOWS\system32\drivers\atintuxx.sys
2006-10-26 14:27 701,952 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2006-10-26 14:27 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2006-10-26 14:27 67,584 --------- C:\WINDOWS\system32\drivers\sdbus.sys
2006-10-26 14:27 63,663 --------- C:\WINDOWS\system32\drivers\ati1rvxx.sys
2006-10-26 14:27 63,488 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys
2006-10-26 14:27 61,440 --------- C:\WINDOWS\system32\logman.exe
2006-10-26 14:27 6,016 --------- C:\WINDOWS\system32\drivers\smbali.sys
2006-10-26 14:27 59,648 --------- C:\WINDOWS\system32\drivers\rfcomm.sys
2006-10-26 14:27 57,856 --------- C:\WINDOWS\system32\drivers\atinbtxx.sys
2006-10-26 14:27 56,623 --------- C:\WINDOWS\system32\drivers\ati1btxx.sys
2006-10-26 14:27 52,224 --------- C:\WINDOWS\system32\drivers\atinraxx.sys
2006-10-26 14:27 46,464 --------- C:\WINDOWS\system32\drivers\gagp30kx.sys
2006-10-26 14:27 452,736 --------- C:\WINDOWS\system32\drivers\mtxparhm.sys
2006-10-26 14:27 44,928 --------- C:\WINDOWS\system32\drivers\agpcpq.sys
2006-10-26 14:27 44,672 --------- C:\WINDOWS\system32\drivers\uagp35.sys
2006-10-26 14:27 43,008 --------- C:\WINDOWS\system32\drivers\amdagp.sys
2006-10-26 14:27 42,752 --------- C:\WINDOWS\system32\drivers\alim1541.sys
2006-10-26 14:27 42,240 --------- C:\WINDOWS\system32\drivers\viaagp.sys
2006-10-26 14:27 41,088 --------- C:\WINDOWS\system32\drivers\sisagp.sys
2006-10-26 14:27 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys
2006-10-26 14:27 40,192 --------- C:\WINDOWS\system32\drivers\intelppm.sys
2006-10-26 14:27 4,255 --------- C:\WINDOWS\system32\drivers\adv01nt5.dll
2006-10-26 14:27 38,016 --------- C:\WINDOWS\system32\drivers\bthmodem.sys
2006-10-26 14:27 36,463 --------- C:\WINDOWS\system32\drivers\ati1tuxx.sys
2006-10-26 14:27 35,456 --------- C:\WINDOWS\system32\drivers\bthprint.sys
2006-10-26 14:27 34,735 --------- C:\WINDOWS\system32\drivers\ati1xsxx.sys
2006-10-26 14:27 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
2006-10-26 14:27 31,744 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys
2006-10-26 14:27 30,671 --------- C:\WINDOWS\system32\drivers\ati1raxx.sys
2006-10-26 14:27 3,967 --------- C:\WINDOWS\system32\drivers\adv02nt5.dll
2006-10-26 14:27 3,901 --------- C:\WINDOWS\system32\drivers\siint5.dll
2006-10-26 14:27 3,775 --------- C:\WINDOWS\system32\drivers\adv11nt5.dll
2006-10-26 14:27 3,711 --------- C:\WINDOWS\system32\drivers\adv09nt5.dll
2006-10-26 14:27 3,647 --------- C:\WINDOWS\system32\drivers\adv07nt5.dll
2006-10-26 14:27 3,615 --------- C:\WINDOWS\system32\drivers\adv05nt5.dll
2006-10-26 14:27 3,135 --------- C:\WINDOWS\system32\drivers\adv08nt5.dll
2006-10-26 14:27 29,455 --------- C:\WINDOWS\system32\drivers\ati1xbxx.sys
2006-10-26 14:27 29,056 --------- C:\WINDOWS\system32\drivers\ip6fw.sys
2006-10-26 14:27 28,672 --------- C:\WINDOWS\system32\drivers\atinsnxx.sys
2006-10-26 14:27 275,200 --------- C:\WINDOWS\system32\drivers\bthport.sys
2006-10-26 14:27 263,040 --------- C:\WINDOWS\system32\drivers\http.sys
2006-10-26 14:27 26,367 --------- C:\WINDOWS\system32\drivers\ati1snxx.sys
2006-10-26 14:27 25,856 --------- C:\WINDOWS\system32\drivers\hidbth.sys
2006-10-26 14:27 25,471 --------- C:\WINDOWS\system32\drivers\atv04nt5.dll
2006-10-26 14:27 220,032 --------- C:\WINDOWS\system32\drivers\hsfbs2s2.sys
2006-10-26 14:27 22,271 --------- C:\WINDOWS\system32\drivers\watv06nt.sys
2006-10-26 14:27 21,343 --------- C:\WINDOWS\system32\drivers\ati1ttxx.sys
2006-10-26 14:27 21,183 --------- C:\WINDOWS\system32\drivers\atv01nt5.dll
2006-10-26 14:27 180,360 --------- C:\WINDOWS\system32\drivers\ntmtlfax.sys
2006-10-26 14:27 18,944 --------- C:\WINDOWS\system32\drivers\bthusb.sys
2006-10-26 14:27 17,279 --------- C:\WINDOWS\system32\drivers\atv10nt5.dll
2006-10-26 14:27 17,024 --------- C:\WINDOWS\system32\drivers\bthenum.sys
2006-10-26 14:27 166,912 --------- C:\WINDOWS\system32\drivers\s3gnbm.sys
2006-10-26 14:27 15,488 --------- C:\WINDOWS\system32\drivers\mssmbios.sys
2006-10-26 14:27 15,423 --------- C:\WINDOWS\system32\drivers\ch7xxnt5.dll
2006-10-26 14:27 15,104 --------- C:\WINDOWS\system32\drivers\hidir.sys
2006-10-26 14:27 14,336 --------- C:\WINDOWS\system32\drivers\atinpdxx.sys
2006-10-26 14:27 14,143 --------- C:\WINDOWS\system32\drivers\atv06nt5.dll
2006-10-26 14:27 13,824 --------- C:\WINDOWS\system32\drivers\atinttxx.sys
2006-10-26 14:27 13,824 --------- C:\WINDOWS\system32\drivers\atinmdxx.sys
2006-10-26 14:27 13,776 --------- C:\WINDOWS\system32\drivers\recagent.sys
2006-10-26 14:27 13,568 --------- C:\WINDOWS\system32\drivers\wacompen.sys
2006-10-26 14:27 13,240 --------- C:\WINDOWS\system32\drivers\slwdmsup.sys
2006-10-26 14:27 129,535 --------- C:\WINDOWS\system32\drivers\slnt7554.sys
2006-10-26 14:27 126,686 --------- C:\WINDOWS\system32\drivers\mtlmnt5.sys
2006-10-26 14:27 124,800 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-10-26 14:27 12,672 --------- C:\WINDOWS\system32\drivers\mutohpen.sys
2006-10-26 14:27 12,047 --------- C:\WINDOWS\system32\drivers\ati1pdxx.sys
2006-10-26 14:27 11,935 --------- C:\WINDOWS\system32\drivers\wadv11nt.sys
2006-10-26 14:27 11,871 --------- C:\WINDOWS\system32\drivers\wadv09nt.sys
2006-10-26 14:27 11,868 --------- C:\WINDOWS\system32\drivers\mdmxsdk.sys
2006-10-26 14:27 11,807 --------- C:\WINDOWS\system32\drivers\wadv07nt.sys
2006-10-26 14:27 11,615 --------- C:\WINDOWS\system32\drivers\ati1mdxx.sys
2006-10-26 14:27 11,359 --------- C:\WINDOWS\system32\drivers\atv02nt5.dll
2006-10-26 14:27 11,325 --------- C:\WINDOWS\system32\drivers\vchnt5.dll
2006-10-26 14:27 11,295 --------- C:\WINDOWS\system32\drivers\wadv08nt.sys
2006-10-26 14:27 11,136 --------- C:\WINDOWS\system32\drivers\sffdisk.sys
2006-10-26 14:27 104,960 --------- C:\WINDOWS\system32\drivers\atinrvxx.sys
2006-10-26 14:27 100,992 --------- C:\WINDOWS\system32\drivers\bthpan.sys
2006-10-26 14:27 10,240 --------- C:\WINDOWS\system32\drivers\sffp_sd.sys
2006-10-26 14:27 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys
2006-10-26 14:27 1,041,536 --------- C:\WINDOWS\system32\drivers\hsfdpsp2.sys
2006-10-26 14:26 896,512 --------- C:\WINDOWS\system32\wmspdmoe.dll
2006-10-26 14:26 88,064 --------- C:\WINDOWS\system32\p2pnetsh.dll
2006-10-26 14:26 870,784 --------- C:\WINDOWS\system32\ati3d1ag.dll
2006-10-26 14:26 86,016 --------- C:\WINDOWS\system32\p2pgasvc.dll
2006-10-26 14:26 86,016 --------- C:\WINDOWS\system32\mdmxsdk.dll
2006-10-26 14:26 81,920 --------- C:\WINDOWS\system32\ieencode.dll
2006-10-26 14:26 81,408 --------- C:\WINDOWS\system32\wscsvc.dll
2006-10-26 14:26 8,192 --------- C:\WINDOWS\system32\smbinst.exe
2006-10-26 14:26 75,776 --------- C:\WINDOWS\system32\strmfilt.dll
2006-10-26 14:26 73,832 --------- C:\WINDOWS\system32\slcoinst.dll
2006-10-26 14:26 73,796 --------- C:\WINDOWS\system32\slserv.exe
2006-10-26 14:26 71,680 --------- C:\WINDOWS\system32\blastcln.exe
2006-10-26 14:26 7,680 --------- C:\WINDOWS\system32\kbdsmsno.dll
2006-10-26 14:26 7,680 --------- C:\WINDOWS\system32\kbdsmsfi.dll
2006-10-26 14:26 7,168 --------- C:\WINDOWS\system32\kbdukx.dll
2006-10-26 14:26 7,168 --------- C:\WINDOWS\system32\kbdno1.dll
2006-10-26 14:26 7,168 --------- C:\WINDOWS\system32\kbdfi1.dll
2006-10-26 14:26 60,416 --------- C:\WINDOWS\system32\fwcfg.dll
2006-10-26 14:26 6,656 --------- C:\WINDOWS\system32\kbdinmal.dll
2006-10-26 14:26 6,656 --------- C:\WINDOWS\system32\kbdinben.dll
2006-10-26 14:26 6,144 --------- C:\WINDOWS\system32\kbdmlt48.dll
2006-10-26 14:26 6,144 --------- C:\WINDOWS\system32\kbdmlt47.dll
2006-10-26 14:26 6,144 --------- C:\WINDOWS\system32\kbdinbe1.dll
2006-10-26 14:26 526,848 --------- C:\WINDOWS\system32\p2psvc.dll
2006-10-26 14:26 52,736 --------- C:\WINDOWS\system32\mspmsnsv.dll
2006-10-26 14:26 516,768 --------- C:\WINDOWS\system32\ativvaxx.dll
2006-10-26 14:26 50,688 --------- C:\WINDOWS\system32\btpanui.dll
2006-10-26 14:26 50,176 --------- C:\WINDOWS\system32\xmlprovi.dll
2006-10-26 14:26 5,632 --------- C:\WINDOWS\system32\kbdmaori.dll
2006-10-26 14:26 49,152 --------- C:\WINDOWS\system32\powercfg.exe
2006-10-26 14:26 484,864 --------- C:\WINDOWS\system32\wmspdmod.dll
2006-10-26 14:26 48,640 --------- C:\WINDOWS\system32\pnrpnsp.dll
2006-10-26 14:26 44,032 --------- C:\WINDOWS\system32\twext.dll
2006-10-26 14:26 397,056 --------- C:\WINDOWS\system32\s3gnb.dll
2006-10-26 14:26 384,512 --------- C:\WINDOWS\system32\mp4sdmod.dll
2006-10-26 14:26 377,984 --------- C:\WINDOWS\system32\ati2dvaa.dll
2006-10-26 14:26 32,866 --------- C:\WINDOWS\system32\slrundll.exe
2006-10-26 14:26 32,866 --------- C:\WINDOWS\slrundll.exe
2006-10-26 14:26 32,768 --------- C:\WINDOWS\system32\ativtmxx.dll
2006-10-26 14:26 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll
2006-10-26 14:26 312,320 --------- C:\WINDOWS\system32\p2pgraph.dll
2006-10-26 14:26 310,272 --------- C:\WINDOWS\system32\mp43dmod.dll
2006-10-26 14:26 30,208 --------- C:\WINDOWS\system32\bthserv.dll
2006-10-26 14:26 29,184 --------- C:\WINDOWS\system32\sdhcinst.dll
2006-10-26 14:26 286,792 --------- C:\WINDOWS\system32\slextspk.dll
2006-10-26 14:26 25,471 --------- C:\WINDOWS\system32\drivers\watv10nt.sys
2006-10-26 14:26 24,576 --------- C:\WINDOWS\system32\httpapi.dll
2006-10-26 14:26 233,472 --------- C:\WINDOWS\system32\wmpdxm.dll
2006-10-26 14:26 229,376 --------- C:\WINDOWS\system32\ati2cqag.dll
2006-10-26 14:26 22,528 --------- C:\WINDOWS\system32\fltmc.exe
2006-10-26 14:26 202,752 --------- C:\WINDOWS\system32\wmerror.dll
2006-10-26 14:26 201,728 --------- C:\WINDOWS\system32\ati2dvag.dll
2006-10-26 14:26 20,992 --------- C:\WINDOWS\system32\bthci.dll
2006-10-26 14:26 193,024 --------- C:\WINDOWS\system32\fsquirt.exe
2006-10-26 14:26 188,508 --------- C:\WINDOWS\system32\slgen.dll
2006-10-26 14:26 17,408 --------- C:\WINDOWS\system32\winshfhc.dll
2006-10-26 14:26 16,896 --------- C:\WINDOWS\system32\fltlib.dll
2006-10-26 14:26 151,552 --------- C:\WINDOWS\system32\wmidx.dll
2006-10-26 14:26 15,872 --------- C:\WINDOWS\system32\w3ssl.dll
2006-10-26 14:26 14,336 --------- C:\WINDOWS\system32\auditusr.exe
2006-10-26 14:26 13,824 --------- C:\WINDOWS\system32\wscntfy.exe
2006-10-26 14:26 13,824 --------- C:\WINDOWS\system32\cmsetacl.dll
2006-10-26 14:26 129,536 --------- C:\WINDOWS\system32\xmlprov.dll
2006-10-26 14:26 118,784 --------- C:\WINDOWS\system32\msdadiag.dll
2006-10-26 14:26 116,224 --------- C:\WINDOWS\system32\p2p.dll
2006-10-26 14:26 114,688 --------- C:\WINDOWS\system32\wmpasf.dll
2006-10-26 14:26 108,032 --------- C:\WINDOWS\system32\wshbth.dll
2006-10-26 14:26 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll
2006-10-26 14:26 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2006-10-26 14:26 1,119,744 --------- C:\WINDOWS\system32\wmsdmoe2.dll
2006-10-26 14:26 1,001,472 --------- C:\WINDOWS\system32\wmvdmoe2.dll
2006-10-26 00:23 614,912 --a------ C:\WINDOWS\system32\h323msp.dll
2006-10-26 00:23 39,936 --a------ C:\WINDOWS\system32\mf3216.dll
2006-10-26 00:23 334,336 --a------ C:\WINDOWS\system32\ipnathlp.dll
2006-10-26 00:21 46,352 --a------ C:\WINDOWS\setdebug.exe
2006-10-26 00:21 313,856 --a------ C:\WINDOWS\system32\dx3j.dll
2006-10-26 00:21 171,280 --a------ C:\WINDOWS\system32\jit.dll
2006-10-26 00:21 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2006-10-26 00:20 947,472 --a------ C:\WINDOWS\system32\msjava.dll
2006-10-26 00:20 63,248 --a------ C:\WINDOWS\system32\javaprxy.dll
2006-10-26 00:20 49,424 --a------ C:\WINDOWS\system32\clspack.exe
2006-10-26 00:20 404,752 --a------ C:\WINDOWS\system32\javart.dll
2006-10-26 00:20 286,992 --a------ C:\WINDOWS\system32\vmhelper.dll
2006-10-26 00:20 21,264 --a------ C:\WINDOWS\system32\msjdbc10.dll
2006-10-26 00:20 187,152 --a------ C:\WINDOWS\system32\javacypt.dll
2006-10-26 00:20 172,304 --a------ C:\WINDOWS\system32\jview.exe
2006-10-26 00:20 171,792 --a------ C:\WINDOWS\system32\wjview.exe
2006-10-26 00:20 154,384 --a------ C:\WINDOWS\system32\msawt.dll
2006-10-26 00:20 15,120 --a------ C:\WINDOWS\system32\jdbgmgr.exe
2006-10-26 00:20 113 --a------ C:\WINDOWS\system32\zonedon.reg
2006-10-26 00:20 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2006-10-26 00:09 1,094,144 --a------ C:\WINDOWS\system32\esent.dll
2006-10-25 23:47 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2006-10-25 23:44 8,192 --------- C:\WINDOWS\system32\bitsprx2.dll
2006-10-25 23:44 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2006-10-25 23:44 351,232 --a------ C:\WINDOWS\system32\winhttp.dll
2006-10-25 23:44 18,944 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2006-10-25 23:41 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-10-25 23:41 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-10-25 23:41 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-10-25 23:41 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-10-25 23:41 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-10-25 23:41 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-10-22 21:17 94,720 -r-hs---- C:\WINDOWS\winmgr.exe
2006-10-18 23:16 95,232 -r-hs---- C:\WINDOWS\alrs.exe
2006-10-18 23:15 82 --a------ C:\WINDOWS\system32\drrm.bat
2006-10-18 23:15 59,073 --a------ C:\WINDOWS\Desktop.exe
2006-10-16 13:13 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-01 08:41 -------- d-------- C:\Programme\1Pflege
2006-11-01 08:25 -------- d-------- C:\Programme\XoftSpy
2006-10-31 23:21 -------- d-------- C:\Programme\FRITZ!DSL
2006-10-31 22:47 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-10-31 22:16 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-31 14:42 -------- d-------- C:\Programme\VeriSign
2006-10-31 14:41 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-31 14:13 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-31 14:03 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-10-31 14:02 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-31 13:35 -------- d-------- C:\Programme\Webroot
2006-10-31 13:35 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\Webroot
2006-10-28 14:12 -------- d-------- C:\Programme\Microsoft ActiveSync
2006-10-28 14:05 -------- d-------- C:\Programme\Microsoft Office
2006-10-28 11:20 -------- d-------- C:\Programme\Spamihilator
2006-10-27 14:17 -------- d-------- C:\Programme\TOSHIBA
2006-10-27 14:12 -------- d-------- C:\Programme\Gemeinsame Dateien\Nokia
2006-10-27 12:19 -------- d-------- C:\Programme\IrfanView
2006-10-27 12:18 -------- d-------- C:\Programme\Windows Media Player
2006-10-27 12:18 -------- d-------- C:\Programme\Movie Maker
2006-10-27 12:18 -------- d-------- C:\Programme\Messenger
2006-10-27 12:18 -------- d-------- C:\Programme\Apoint2K
2006-10-27 11:57 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\Lavasoft
2006-10-26 21:29 -------- d---s---- C:\Dokumente und Einstellungen\\Anwendungsdaten\Microsoft
2006-10-26 18:27 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\Identities
2006-10-26 14:27 -------- d-------- C:\Programme\Internet Explorer
2006-10-26 14:20 -------- d-------- C:\Programme\Windows NT
2006-10-26 14:20 -------- d-------- C:\Programme\Outlook Express
2006-10-26 14:20 -------- d-------- C:\Programme\NetMeeting
2006-10-25 23:14 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-25 21:43 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-10-25 16:04 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-13 06:09 1110528 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-12 20:40 -------- d-------- C:\Dokumente und Einstellungen\\Anwendungsdaten\TuneUp Software


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"WebClean"="\"C:\\Programme\\1Pflege\\Tobi Koch Accelerator\\Tobi Koch WebClean\\WebClean.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Norman ZANDA"="\"C:\\Norman\\bin\\ZLH.EXE\" /LOAD /SPLASH"
"SpySweeper"="\"C:\\Programme\\Webroot\\Spy Sweeper\\SpySweeperUI.exe\" /startintray"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"SRUUninstall"=""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"SRUUninstall"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{CC1A2C48-84F4-4DAC-AEAC-41DF6344C84D}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Startmenü^Programme^Autostart^HotSync Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\Startmenü\\Programme\\Autostart\\HotSync Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\HotSync Manager.lnkStartup"
"location"="Startup"
"command"="C:\\Palm\\HOTSYNC.EXE "
"item"="HotSync Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Apoint"
"hkey"="HKLM"
"command"="C:\\Programme\\Apoint2K\\Apoint.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CeEKey"
"hkey"="HKLM"
"command"="C:\\Programme\\TOSHIBA\\E-KEY\\CeEKey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEPOWER]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CePMTray"
"hkey"="HKLM"
"command"="C:\\Programme\\TOSHIBA\\Power Management\\CePMTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CHotkey]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mHotkey"
"hkey"="HKLM"
"command"="mHotkey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CPLBTS88]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CPLBTS88"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\EzButton\\CPLBTS88.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EM_EXEC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="EM_EXEC"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wcescomm"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia Tray Application]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NclTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Nokia\\NCLTools\\NclTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RUNDLL32"
"hkey"="HKLM"
"command"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Doctor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="swdoctor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPNF]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TPTray"
"hkey"="HKLM"
"command"="C:\\Programme\\TOSHIBA\\TouchPad\\TPTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\WebrootSpySweeperService

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\XoftSpy.job

Completion time: 06-11-01 16:08:08.39
C:\ComboFix.txt ... 06-11-01 16:08
C:\ComboFix2.txt ... 06-10-28 10:54
______________________________________

Vielen Dank schreibt:
wopvista
Dieser Beitrag wurde am 01.11.2006 um 16:24 Uhr von wopvista editiert.
Seitenanfang Seitenende
01.11.2006, 16:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 formatieren waere das beste.. ;) - immerhin ein Firmen-PC

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
notepad files.txt
__________________________________________________________________
2.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\winmgr.exe
C:\WINDOWS\alrs.exe
C:\WINDOWS\_detmp.1
C:\WINDOWS\Desktop.exe

poste die reporte

__________________________________________
3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MAN_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Man Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_ALS_SERVICE\0000

Files to delete:
C:\WINDOWS\system32\TFTP900
C:\WINDOWS\system32\TFTP3048
C:\WINDOWS\system32\drrm.bat
C:\WINDOWS\alrs.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\winmgr.exe
C:\WINDOWS\Desktop.exe
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
http://www.f-secure.de/v-desk/sdbot_md.shtml
scanne
ftp://ftp.f-secure.com/anti-virus/tools/f-sdbot.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.11.2006 um 16:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1