VirusBurst und Haxdoor - Logger.Goldun.ncThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
30.10.2006, 13:39
...neu hier
Beiträge: 8 |
||
|
||
30.10.2006, 13:59
Ehrenmitglied
Beiträge: 29434 |
#2
auf dem rechner ist ein Haxdoor (Rootkit)
1. http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei poste das log 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten poste hier das log vom avenger nach neustart «« mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen ** scanne und berichte, ob der Rootkit gefunden + entfernt wurde AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.10.2006 um 14:55 Uhr von Sabina editiert.
|
|
|
||
30.10.2006, 14:31
...neu hier
Themenstarter Beiträge: 8 |
#3
schritt 1
log von F-secure Blacklight 10/30/06 14:21:35 [Info]: BlackLight Engine 1.0.47 initialized 10/30/06 14:21:35 [Info]: OS: 5.1 build 2600 (Service Pack 2) 10/30/06 14:21:35 [Note]: 7019 4 10/30/06 14:21:35 [Note]: 7005 0 10/30/06 14:21:39 [Note]: 7006 0 10/30/06 14:21:40 [Note]: 7027 1 10/30/06 14:21:40 [Note]: 7027 0 10/30/06 14:21:40 [Note]: 7026 0 10/30/06 14:21:41 [Note]: 7026 0 10/30/06 14:21:41 [Note]: 7024 3 10/30/06 14:21:41 [Info]: Hidden process: \??\C:\WINDOWS\system32\winlogon.exe 10/30/06 14:21:41 [Note]: 7024 3 10/30/06 14:21:41 [Info]: Hidden process: C:\WINDOWS\Explorer.EXE 10/30/06 14:21:41 [Note]: FSRAW library version 1.7.1020 10/30/06 14:24:38 [Info]: Hidden file: c:\WINDOWS\system32\klgcptini.dat 10/30/06 14:24:38 [Note]: 10002 1 10/30/06 14:24:39 [Info]: Hidden file: c:\WINDOWS\system32\qz.dll 10/30/06 14:24:39 [Note]: 10002 1 10/30/06 14:24:40 [Info]: Hidden file: c:\WINDOWS\system32\qz.sys 10/30/06 14:24:40 [Note]: 10002 1 10/30/06 14:24:44 [Info]: Hidden file: c:\WINDOWS\system32\stt82.ini 10/30/06 14:24:44 [Note]: 10002 1 10/30/06 14:24:47 [Info]: Hidden file: c:\WINDOWS\system32\lanmui.dll 10/30/06 14:24:47 [Note]: 10002 1 10/30/06 14:24:47 [Info]: Hidden file: c:\WINDOWS\system32\lannui.sys 10/30/06 14:24:47 [Note]: 10002 1 10/30/06 14:24:48 [Info]: Hidden file: c:\WINDOWS\system32\racpldlg.dll 10/30/06 14:24:48 [Note]: 10002 2 10/30/06 14:25:12 [Note]: 7002 0 10/30/06 14:25:12 [Note]: 7003 1 10/30/06 14:27:34 [Note]: 7007 0 ich bin jetzt mal eine Stunde gassie mit den Hunden :-) Schritt 2 dann gleich und tausend Dank :-) lG Thorsten |
|
|
||
30.10.2006, 14:53
Ehrenmitglied
Beiträge: 29434 |
#4
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen
Dann lass Blacklight den Rechner neu starten. doppelklick: blbeta.exe nach dem Check klicke -- next - umbenennen -------------------------------------- dann erst wende den avenger an - und poste das log nach neustart __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 16:23
...neu hier
Themenstarter Beiträge: 8 |
#5
//////////////////////////////////////////
Avenger Pre-Processor log ////////////////////////////////////////// Syntax error in line --- does not appear to be a valid registry path. Line will be ignored. Error code: 0 Line: HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f} ////////////////////////////////////////// Zitat Logfile of The Avenger version 1, by Swandog46noch mal eine frage für die übersichtlichkeit wie gehts mit dem zitat, so das man die logfiles besser sehen kann ? lG thorsten Dieser Beitrag wurde am 30.10.2006 um 16:56 Uhr von Sabina editiert.
|
|
|
||
30.10.2006, 16:57
Ehrenmitglied
Beiträge: 29434 |
#6
scanne noch mal mit
F-secure Blacklight - und poste das log (meiner meinung nach, hast du die rootkits nicht umbenannt, denn sie wurden teilweise vom avenger geloescht) «« mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen ** scanne und berichte, ob der Rootkit gefunden + entfernt wurde AVG Anti-Rootkit 1.0.0.13 Beta http://www.freewarefiles.com/program_9_90_22524.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 17:06
...neu hier
Themenstarter Beiträge: 8 |
#7
Ja pass auf ich hatte Deine Nachricht erst danach gelesen.
ich habe also nach dem ersten durchlauf, schon den avanger machen lassen. danach habe ich das log von avanger gepostet... deswegen hat avanger es teilweise gemacht. nun habe ich blachlight laufen lassen nichts gefunden ! Soll ich jetzt ??? mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen lg thorsten |
|
|
||
30.10.2006, 17:08
Ehrenmitglied
Beiträge: 29434 |
#8
ja, poste dann die scanreporte davon und wende auch den rootkitscanner an
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.10.2006, 17:31
...neu hier
Themenstarter Beiträge: 8 |
#9
Hallo Sabrina,
also der Rootscanner hat nicht gefunden auf beiden Optionen. und hier das Log: Zitat SmitFraudFix v2.117dort steht noch etwas liebe Grüße Thorsten |
|
|
||
31.10.2006, 09:58
Ehrenmitglied
Beiträge: 29434 |
#10
1.
loesche das backup vonm avenger unter C:\Avenger\backup.zip + leere den Papierkorb 2. scanne und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.10.2006, 12:17
...neu hier
Themenstarter Beiträge: 8 |
#11
Hey Sabrina,
so habe es gemacht.... Whow bin ja echt beeindruckt hier der Report... Zitat ---------------------------------------------------------Ich hoffe es war kein Fehler alle gefundenen gleich mit avg zu löschen :-) sehr liebe Grüße Thorsten |
|
|
||
31.10.2006, 12:58
Ehrenmitglied
Beiträge: 29434 |
#12
Avenger
Zitat Registry values to delete:poste den report «« Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.10.2006, 13:29
...neu hier
Themenstarter Beiträge: 8 |
#13
Hay Sabrina,
So habe Avanger mit dem zitat durchlaufen lassen bei files to delite kam : nicht gefunden " hat wohl avg mit gelöscht" hier das neue Log Zitat Logfile of The Avenger version 1, by Swandog46tausend Dank für Deine Hilfe :-) Mfg Thorsten |
|
|
||
31.10.2006, 13:53
Ehrenmitglied
Beiträge: 29434 |
#14
scanne noch mal mit AVG Anti-Spyware
aber nicht Ignoriert - sondern alles loeschen lassen! dann aktiviere wieder die Systemwiederherstellung. und alles Gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.10.2006, 14:23
...neu hier
Themenstarter Beiträge: 8 |
#15
Hey Sabrina, dickes Bussy :-)
vielen Dank für Deine Hilfe, ich werde das Forum mit den Besten Empfehlungen weiter vermitteln... lieb kuck, und nette Grüße aus ReinlanPfalz Gruß Thorsten PS: Ich bin son Hausmann Typ, und backe Dir einen Virtuellen Kuchen ;-) |
|
|
||
Ja ich weiß man soll nicht unüberlegt Videocodec von Dubiosen Anbietren herunterladen :-(
Wer kann mir helfen " vieleicht auch Sabrina :-) "
Habe gerade gelesen was man alles machen muß ...
Hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 12:59:39, on 30.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\VideoKeyCodec\isamonitor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VideoKeyCodec\isamini.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\thorsten\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VideoKeyCodec\isaddon.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\VideoKeyCodec\iesplugin.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: lanmui - C:\WINDOWS\SYSTEM32\lanmui.dll
O21 - SSODL: contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4} - C:\WINDOWS\system32\dpfwu.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
so den find text
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC
Verzeichnis von c:\WINDOWS\Prefetch
25.10.2006 12:03 22.436 SVCHOST.EXE-3530F672.pf
1 Datei(en) 22.436 Bytes
Verzeichnis von c:\WINDOWS\system32
31.12.2002 13:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes
Verzeichnis von c:\WINDOWS\system32\dllcache
31.12.2002 13:00 14.336 svchost.exe
1 Datei(en) 14.336 Bytes
Anzahl der angezeigten Dateien:
3 Datei(en) 51.108 Bytes
0 Verzeichnis(se), 6.830.231.552 Bytes frei
so den den combo fix text
thorsten - 06-10-30 13:10:06.68 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\thorsten\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2006-09-30 to 2006-10-30 ))))))))))))))))))))))))))))))))))
2006-10-28 12:26 106,496 --a------ C:\WINDOWS\system32\dpfwu.dll
2006-10-23 12:26 56,251 --a------ C:\WINDOWS\system32\62970.exe
2006-10-20 14:29 368,912 -ra------ C:\WINDOWS\system32\VBAR332.DLL
2006-10-20 14:29 1,039,360 -ra------ C:\WINDOWS\system32\MSJET35.DLL
2006-10-20 14:28 607,744 --------- C:\WINDOWS\system32\Decslib.dll
2006-10-20 14:26 909,312 --------- C:\WINDOWS\system32\qd3d.dll
2006-10-20 14:26 70,656 --------- C:\WINDOWS\system32\3dviewer.dll
2006-10-20 14:26 553,984 --------- C:\WINDOWS\system32\rave.dll
2006-10-20 14:26 245,760 --------- C:\WINDOWS\system32\Sccomp91.dll
2006-10-20 14:26 225,280 --------- C:\WINDOWS\system32\Scint91.dll
2006-10-20 14:26 168,448 --------- C:\WINDOWS\system32\Awrtl30.dll
2006-10-20 14:26 112,688 --------- C:\WINDOWS\system32\shw32.dll
2006-10-20 14:26 110,592 --------- C:\WINDOWS\system32\Sccres91.dll
2006-10-20 14:26 100,864 --------- C:\WINDOWS\system32\awpe.dll
2006-10-03 10:22 53,760 --a------ C:\WINDOWS\system32\sw_wheel.dll
2006-10-03 10:22 41,472 --a------ C:\WINDOWS\system32\sw_effct.dll
2006-10-03 10:22 35,200 --a------ C:\WINDOWS\system32\drivers\msgame.sys
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-10-30 11:48 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-28 12:56 -------- d-------- C:\Programme\VideoKeyCodec
2006-10-28 12:36 -------- d-------- C:\Programme\VirusBurster
2006-10-28 12:27 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-22 12:45 -------- d-------- C:\Programme\ANSTOSS 4
2006-10-20 14:26 -------- d-------- C:\Programme\Corel
2006-10-20 13:48 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Macromedia
2006-10-03 10:24 -------- d-------- C:\Programme\Rockstar Games
2006-10-03 10:24 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\InstallShield Installation Information
2006-10-03 10:23 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-30 08:50 -------- d-------- C:\Programme\eMule
2006-09-29 12:20 16368 --a------ C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-09-29 10:37 -------- d-------- C:\Programme\Microsoft Office
2006-09-29 10:37 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-29 10:31 -------- d---s---- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Microsoft
2006-09-27 13:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-09-25 10:31 -------- d-------- C:\Programme\Symantec
2006-09-24 11:12 -------- d-------- C:\Programme\Windows Media Player
2006-09-19 14:53 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\NeroVision
2006-09-19 12:59 -------- d-------- C:\Programme\Ahead
2006-09-19 12:57 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-09-19 12:27 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\AdobeUM
2006-09-19 12:26 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Adobe
2006-09-19 12:22 869 --a------ C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\AdobeDLM.log
2006-09-19 12:22 0 --a------ C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\dm.ini
2006-09-19 12:22 -------- d-------- C:\Programme\Adobe
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-15 14:37 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\Ahead
2006-09-15 13:55 -------- d-------- C:\Dokumente und Einstellungen\thorsten\Anwendungsdaten\vlc
2006-09-15 13:49 -------- d-------- C:\Programme\VideoLAN
2006-09-14 13:54 -------- d-------- C:\Programme\Messenger
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\VideoKeyCodec\\isamonitor.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"contrabandists"="{dfa61db1-388e-4c87-8d56-540fa229bcb4}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\lanmui
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lanmui.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\lannui.sys
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen.job
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 06-10-30 13:12:01.44
C:\ComboFix.txt ... 06-10-30 13:12
C:\ComboFix2.txt ... 06-10-30 13:08
so den cleanupfix text
Windows CleanUp! 4.5.2
Platform: Windows 95, 98, NT 4.0, ME, 2000 or XP.
Windows CleanUp! is freeware. If you find it useful, please consider making a donation to support on-going development.
CleanUp! is a powerful and easy-to-use application that removes temporary files created while surfing the web, empties the Recycle Bin, deletes files from your temporary folders and much more. CleanUp! frees disk space and reduces the "clutter" on your computer helping it to run more efficiently. It also can be used as a way to protect your privacy on the Internet. You can even instruct CleanUp! to securely delete files making it impossible to retrieve their contents using lower-level disk tools.
For more information, refer to the CleanUp! web site:
http://cleanup.stevengould.org/
Copyright 1998-2006 Steven R. Gould, All rights reserved.
den system32 text
Windows CleanUp! 4.5.2
Platform: Windows 95, 98, NT 4.0, ME, 2000 or XP.
Windows CleanUp! is freeware. If you find it useful, please consider making a donation to support on-going development.
CleanUp! is a powerful and easy-to-use application that removes temporary files created while surfing the web, empties the Recycle Bin, deletes files from your temporary folders and much more. CleanUp! frees disk space and reduces the "clutter" on your computer helping it to run more efficiently. It also can be used as a way to protect your privacy on the Internet. You can even instruct CleanUp! to securely delete files making it impossible to retrieve their contents using lower-level disk tools.
For more information, refer to the CleanUp! web site:
http://cleanup.stevengould.org/
Copyright 1998-2006 Steven R. Gould, All rights reserved.
der system temp text
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC
Verzeichnis von C:\DOKUME~1\thorsten\LOKALE~1\Temp
der system text
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC
Verzeichnis von C:\WINDOWS
30.10.2006 11:48 0 0.log
30.10.2006 11:48 159 wiadebug.log
30.10.2006 11:48 50 wiaservc.log
30.10.2006 11:48 2.048 bootstat.dat
29.10.2006 22:19 32.644 SchedLgU.Txt
29.10.2006 22:19 21.448 WindowsUpdate.log
28.10.2006 12:33 109.410 ntbtlog.txt
23.10.2006 11:24 11.151 wmsetup.log
03.10.2006 10:32 994 DirectX.log
03.10.2006 10:22 488.608 setupapi.log
21.09.2006 15:46 39.068 wmsetup10.log
21.09.2006 15:45 316.640 WMSysPr9.prx
17.09.2006 18:19 116 NeroDigital.ini
so der temp text
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC
Verzeichnis von C:\WINDOWS\Temp
der text doun
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC
Verzeichnis von C:\WINDOWS\Downloaded Program Files
22.06.2006 10:41 5.032 swflash.inf
02.05.2002 15:50 65 desktop.ini
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 8.341.733.376 Bytes frei
und zum schluß der sys text
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 18B8-4DFC
Verzeichnis von C:\
30.10.2006 13:18 0 sys.txt
30.10.2006 13:18 345 down.txt
30.10.2006 13:17 117 tmp.txt
30.10.2006 13:17 4.485 system.txt
30.10.2006 13:17 136 systemtemp.txt
30.10.2006 13:17 93.316 system32.txt
30.10.2006 13:12 8.653 ComboFix.txt
30.10.2006 13:08 138 ComboFix2.txt
30.10.2006 13:05 670 find.txt
30.10.2006 11:48 536.449.024 hiberfil.sys
30.10.2006 11:48 804.569.088 pagefile.sys
29.09.2006 10:36 13.030 PDOXUSRS.NET
31.12.2002 13:00 47.564 NTDETECT.COM
31.12.2002 13:00 251.184 ntldr
31.12.2002 13:00 4.952 bootfont.bin
02.05.2002 15:52 0 MSDOS.SYS
02.05.2002 15:52 0 CONFIG.SYS
02.05.2002 15:52 0 IO.SYS
02.05.2002 15:52 0 AUTOEXEC.BAT
02.05.2002 15:44 211 boot.ini
20 Datei(en) 1.341.442.913 Bytes
0 Verzeichnis(se), 8.341.991.424 Bytes frei
so Ihr netten helfenden und Wissenden
wer kann mir dabei Helfen :-)
tausend dank im vorraus Thorsten