Trojaner Tr/psw.lmir.baj.1

#1 Hallo zusammen,

Ich hab mir die Tage einen ziemlich ätzenden Virus eingefangen und brauche echt hilfe.

Ich kenne mich leider kaum mit dem Thema aus, habe jedoch aus Threads mit vergleichbarem Virus gelesen, dass eine Hi-Jack-this Angabe benötigt wird.

Also, hier ist sie....

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy Media Creator 7\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Ruben\Programme\Emule\emule.exe -AutoStart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23f7098efdff58fcfc05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133382899671
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133301753842
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


Ich hoffe, dass jemand da mehr mit anfangen kann als ich.

Vielen Dank im voraus....

#2 cisco86

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\Intel" >>files.txt
dir "C:\WINDOWS\System32/_2dll.dll" >>files.txt
dir "C:\WINDOWS\System32/msabc.dll" >>files.txt
dir "C:\WINDOWS\System32/ztdll.dll" >>files.txt
notepad files.txt

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
____________________________________________________________

Zitat

Wenn er erstmals gestartet wird, kopiert sich Troj/Lineag-AAD nach <Programme>\Intel\rundll32.exe und erstellt folgende Dateien:

<System>\_2dll.dll
<System>\msabc.dll

Der folgende Registrierungseintrag wird erstellt, um rundll32.exe beim Start auszuführen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
LTT2
<Programme>\Intel\rundll32.exe

---------------

Troj/Lineag-AAD ist ein Kennwort-stehlender Trojaner für die Windows-Plattform.

Troj/Lineag-AAD enthält Funktionalität, um Benachrichtigungen an remote Speicherorte zu senden.

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Besten dank für die schnelle Antwort.

1. Die txt von Combofix


ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-30 to 2006-10-30 ))))))))))))))))))))))))))))))))))


2006-10-28 08:17 34 --a------ C:\WINDOWS\vbarun.dll
2006-10-27 20:34 0 --a------ C:\WINDOWS\system32\ztdll.dll
2006-10-06 17:07 569,344 --a------ C:\WINDOWS\system32\imagr5.dll
2006-10-06 17:07 544,768 --a------ C:\WINDOWS\system32\imagx5.dll
2006-10-06 17:07 5,632 --a------ C:\WINDOWS\system32\drivers\imagedrv.sys
2006-10-06 17:07 38,912 --a------ C:\WINDOWS\system32\picn20.dll
2006-10-06 17:07 283,920 --a------ C:\WINDOWS\system32\ImagXpr5.dll
2006-10-06 17:07 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2006-10-06 17:07 113,664 --a------ C:\WINDOWS\system32\drivers\imagesrv.sys
2006-09-30 18:20 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-09-30 18:16 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-30 15:08 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-30 14:35 -------- d-------- C:\Programme\Zango
2006-10-29 21:17 -------- d---s---- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft
2006-10-27 21:59 -------- d-------- C:\Programme\RamBooster
2006-10-23 14:02 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Real
2006-10-23 14:00 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla
2006-10-23 13:57 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-10-23 13:57 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-23 13:56 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-10-23 13:55 -------- d-------- C:\Programme\Google
2006-10-23 13:54 -------- d-------- C:\Programme\Real
2006-10-06 18:59 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\My Battle for Middle-earth(tm) II Files
2006-10-06 17:12 -------- d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead
2006-10-06 17:07 -------- d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-10-03 21:17 20480 --a------ C:\WINDOWS\system32\H@tKeysH@@k.DLL
2006-09-30 18:20 -------- d-------- C:\Programme\Alcohol Soft
2006-09-30 18:19 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-25 20:20 70 --a------ C:\Programme\[PC
2006-09-25 20:20 68 --a------ C:\Programme\US
2006-09-18 08:39 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-09-15 18:33 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"eMuleAutoStart"="D:\\Ruben\\Programme\\Emule\\emule.exe -AutoStart"
"ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"RoxioDragToDisc"="\"C:\\Programme\\Roxio\\Easy Media Creator 7\\Drag to Disc\\DrgToDsc.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"rzt"="C:\\WINDOWS\\Intel\\rundll32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,f2,01,00,00,23,00,00,00,7c,00,00,00,72,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"9"="C:\\WINDOWS\\System32\\Ravdm.exe"
"KernelCheck"="C:\\WINDOWS\\System32\\winasse.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-30 17:06:27.92
C:\ComboFix.txt ... 06-10-30 17:06

2. Clean Up wurde ausgeführt

3. Hier die Datfind txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\WINDOWS\system32

30.10.2006 14:21 0 ztdll.dll
30.10.2006 14:21 28.066 nvapps.xml
29.10.2006 21:52 383.254 perfh009.dat
29.10.2006 21:52 53.608 perfc009.dat
29.10.2006 21:52 394.500 perfh007.dat
29.10.2006 21:52 64.598 perfc007.dat
29.10.2006 21:52 906.552 PerfStringBackup.INI
29.10.2006 20:53 2.184 wpa.dbl
23.10.2006 13:56 185.952 rmoc3260.dll
23.10.2006 13:55 5.632 pndx5032.dll
23.10.2006 13:55 6.656 pndx5016.dll
23.10.2006 13:54 278.528 pncrt.dll
03.10.2006 21:17 20.480 H@tKeysH@@k.DLL
15.09.2006 18:33 98.304 CmdLineExt.dll

[/b]

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|9
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|KernelCheck
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|rzt

Files to delete:
C:\WINDOWS\vbarun.dll
C:\WINDOWS\System32\Ravdm.exe
C:\WINDOWS\system32\ztdll.dll
C:\WINDOWS\System32\winasse.exe

Folders to delete:
C:\WINDOWS\Intel
C:\Programme\Zango

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vo avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hier das log vom Avenger...

Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gokglkgg

*******************

Script file located at: \??\C:\klrfidsb.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\vbarun.dll deleted successfully.
File C:\WINDOWS\System32\Ravdm.exe deleted successfully.
File C:\WINDOWS\system32\ztdll.dll deleted successfully.


File C:\WINDOWS\System32\winasse.exe not found!
Deletion of file C:\WINDOWS\System32\winasse.exe failed!

Could not process line:
C:\WINDOWS\System32\winasse.exe
Status: 0xc0000034

Folder C:\WINDOWS\Intel deleted successfully.


Folder C:\Programme\Zango not found!
Deletion of folder C:\Programme\Zango failed!

Could not process line:
C:\Programme\Zango
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|9 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|9 failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|KernelCheck not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run|KernelCheck failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|rzt not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|rzt failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#6 scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 =============================================================================
Dr.Web(R) Scanner für Windows v4.33.2 (4.33.2.10060)
Copyright (c) Igor Daniloff, 1992-2006
Bericht erstellt auf: 2006-11-01, 13:22:29 [RUBEN][Administrator]
Kommandozeile: "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cureit.exe" /lng:de-cureit.dwl /ini:cureit_XP.ini
Betriebssystem:Windows XP Professional x86 (Build 2600)
=============================================================================
Suchmodul Version: 4.33 (4.33.5.10110)
API Version: 2.01
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwtoday.cdb - 282 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43359.cdb - 1205 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43358.cdb - 1139 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43357.cdb - 1302 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43356.cdb - 1332 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43355.cdb - 2456 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43354.cdb - 1283 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43353.cdb - 795 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43352.cdb - 2016 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43351.cdb - 941 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43350.cdb - 1020 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43349.cdb - 1008 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43348.cdb - 1096 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43347.cdb - 707 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43346.cdb - 1429 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43345.cdb - 1358 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43344.cdb - 694 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43343.cdb - 1186 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43342.cdb - 744 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43341.cdb - 841 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43340.cdb - 822 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43339.cdb - 1071 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43338.cdb - 989 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43337.cdb - 855 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43336.cdb - 1297 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43335.cdb - 1195 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43334.cdb - 900 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43333.cdb - 1381 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43332.cdb - 1340 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43331.cdb - 2735 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43330.cdb - 2078 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43329.cdb - 2490 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43328.cdb - 743 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43327.cdb - 958 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43326.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43325.cdb - 713 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43324.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43323.cdb - 655 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43322.cdb - 778 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43321.cdb - 846 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43320.cdb - 808 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43319.cdb - 764 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43318.cdb - 838 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43317.cdb - 363 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43316.cdb - 730 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43315.cdb - 627 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43314.cdb - 824 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43313.cdb - 842 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43312.cdb - 830 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43311.cdb - 862 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43310.cdb - 853 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43309.cdb - 733 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43308.cdb - 708 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43307.cdb - 839 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43306.cdb - 930 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43305.cdb - 759 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43304.cdb - 721 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43303.cdb - 638 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43302.cdb - 806 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43301.cdb - 504 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crw43300.cdb - 24 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwebase.cdb - 78674 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwrtoday.cdb - 296 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwr43301.cdb - 697 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwrisky.cdb - 1271 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwntoday.cdb - 218 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43305.cdb - 752 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43304.cdb - 793 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43303.cdb - 766 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43302.cdb - 850 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cwn43301.cdb - 772 Virus Einträge
[Virus-Datenbank] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\crwnasty.cdb - 4867 Virus Einträge
Summe der Vireneinträge: 151087
Lizenzschlüssel: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\cureit.key
Lizenzchlüssel-Nummer: 0000000010
Registriert für:: Dr.Web CureIt Project
Lizenzschlüssel aktiviert!: 2005-03-05
Lizenzschlüssel wird ablaufen!: 2007-03-05

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

[Prüfpfad] c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\rarsfx0\_start.exe
[Prüfpfad] c:\dokumente und einstellungen\administrator\lokale einstellungen\temp\rarsfx0\cureit.exe
[Prüfpfad] c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\dokumente und einstellungen\all users\startmenü\programme\autostart\desktop.ini
[Prüfpfad] c:\programme\adobe\acrobat 7.0\activex\acroiehelper.dll
[Prüfpfad] c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll
[Prüfpfad] c:\programme\adobe\acrobat 7.0\reader\acrord32.exe
[Prüfpfad] c:\programme\adobe\acrobat 7.0\reader\reader_sl.exe
[Prüfpfad] c:\programme\alcohol soft\alcohol 120\axshlex.dll
[Prüfpfad] c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe
[Prüfpfad] c:\programme\antivir personaledition classic\avgnt.exe
[Prüfpfad] c:\programme\antivir personaledition classic\avguard.exe
[Prüfpfad] c:\programme\antivir personaledition classic\sched.exe
[Prüfpfad] c:\programme\antivir personaledition classic\shlext.dll
[Prüfpfad] c:\programme\bearshare mediabar\mediabar.dll
[Prüfpfad] c:\programme\ewido anti-malware\ewidoctrl.exe
[Prüfpfad] c:\programme\ewido anti-malware\ewidoguard.exe
[Prüfpfad] c:\programme\ewido anti-malware\guard.sys
[Prüfpfad] c:\programme\ewido anti-malware\shellhook.dll
[Prüfpfad] c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe
[Prüfpfad] c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\help\hxds.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\information retrieval\msitss.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\office11\msoxmlmf.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web components\10\owc10.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web components\11\owc11.dll
[Prüfpfad] c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
[Prüfpfad] c:\programme\gemeinsame dateien\real\update_ob\realsched.exe
[Prüfpfad] c:\programme\gemeinsame dateien\system\ole db\oledb32.dll
[Prüfpfad] c:\programme\icqlite\icqlite.exe
[Prüfpfad] c:\programme\icqlite\icqliteshell.dll
[Prüfpfad] c:\programme\internet explorer\iexplore.exe
[Prüfpfad] c:\programme\java\jre1.5.0_06\bin\jucheck.exe
[Prüfpfad] c:\programme\java\jre1.5.0_06\bin\jusched.exe
[Prüfpfad] c:\programme\java\jre1.5.0_06\bin\ssv.dll
[Prüfpfad] c:\programme\microsoft office\office11\mlshext.dll
[Prüfpfad] c:\programme\microsoft office\office11\msohev.dll
[Prüfpfad] c:\programme\microsoft office\office11\olkfstub.dll
[Prüfpfad] c:\programme\microsoft office\office11\onenotem.exe
[Prüfpfad] c:\programme\microsoft office\office11\outlook.exe
[Prüfpfad] c:\programme\microsoft office\office11\winword.exe
[Prüfpfad] c:\programme\myglobalsearch\bar\2.bin\mgsbar.dll
[Prüfpfad] c:\programme\outlook express\setup50.exe
[Prüfpfad] c:\programme\outlook express\wabfind.dll
[Prüfpfad] c:\programme\real\realplayer\rpshell.dll
[Prüfpfad] c:\programme\roxio\easy media creator 7\creator classic\targetfinder.dll
[Prüfpfad] c:\programme\roxio\easy media creator 7\drag to disc\drgtodsc.exe
[Prüfpfad] c:\programme\roxio\easy media creator 7\drag to disc\shellex.dll
[Prüfpfad] c:\programme\winace\arcext.dll
[Prüfpfad] c:\programme\winamp\winampa.exe
[Prüfpfad] c:\programme\winzip\wzshlstb.dll
[Prüfpfad] c:\windows\explorer.exe
[Prüfpfad] c:\windows\inf\unregmp2.exe
[Prüfpfad] c:\windows\microsoft.net\framework\v1.1.4322\aspnet_state.exe
[Prüfpfad] c:\windows\msagent\agentpsh.dll
[Prüfpfad] c:\windows\system32\advapi32.dll
[Prüfpfad] c:\windows\system32\advpack.dll
[Prüfpfad] c:\windows\system32\alg.exe
[Prüfpfad] c:\windows\system32\appwiz.cpl
[Prüfpfad] c:\windows\system32\audiodev.dll
[Prüfpfad] c:\windows\system32\autochk.exe
[Prüfpfad] c:\windows\system32\browseui.dll
[Prüfpfad] c:\windows\system32\cabview.dll
[Prüfpfad] c:\windows\system32\cdfview.dll
[Prüfpfad] c:\windows\system32\cisvc.exe
[Prüfpfad] c:\windows\system32\clipsrv.exe
[Prüfpfad] c:\windows\system32\cnbjmon.dll
[Prüfpfad] c:\windows\system32\comdlg32.dll
[Prüfpfad] c:\windows\system32\crypt32.dll
[Prüfpfad] c:\windows\system32\cryptext.dll
[Prüfpfad] c:\windows\system32\cryptnet.dll
[Prüfpfad] c:\windows\system32\cscdll.dll
[Prüfpfad] c:\windows\system32\cscui.dll
[Prüfpfad] c:\windows\system32\csrss.exe
[Prüfpfad] c:\windows\system32\ctfmon.exe
[Prüfpfad] c:\windows\system32\deskadp.dll
[Prüfpfad] c:\windows\system32\deskmon.dll
[Prüfpfad] c:\windows\system32\deskperf.dll
[Prüfpfad] c:\windows\system32\dfsshlex.dll
[Prüfpfad] c:\windows\system32\diskcopy.dll
[Prüfpfad] c:\windows\system32\dllhost.exe
[Prüfpfad] c:\windows\system32\dmadmin.exe
[Prüfpfad] c:\windows\system32\docprop.dll
[Prüfpfad] c:\windows\system32\docprop2.dll
[Prüfpfad] c:\windows\system32\drivers\acpi.sys
[Prüfpfad] c:\windows\system32\drivers\aec.sys
[Prüfpfad] c:\windows\system32\drivers\afd.sys
[Prüfpfad] c:\windows\system32\drivers\asyncmac.sys
[Prüfpfad] c:\windows\system32\drivers\atapi.sys
[Prüfpfad] c:\windows\system32\drivers\atmarpc.sys
[Prüfpfad] c:\windows\system32\drivers\audstub.sys
[Prüfpfad] c:\windows\system32\drivers\avgntdd.sys
[Prüfpfad] c:\windows\system32\drivers\avgntmgr.sys
[Prüfpfad] c:\windows\system32\drivers\ccdecode.sys
[Prüfpfad] c:\windows\system32\drivers\cdrom.sys
[Prüfpfad] c:\windows\system32\drivers\disk.sys
[Prüfpfad] c:\windows\system32\drivers\dmboot.sys
[Prüfpfad] c:\windows\system32\drivers\dmio.sys
[Prüfpfad] c:\windows\system32\drivers\dmload.sys
[Prüfpfad] c:\windows\system32\drivers\dmusic.sys
[Prüfpfad] c:\windows\system32\drivers\drmkaud.sys
[Prüfpfad] c:\windows\system32\drivers\fdc.sys
[Prüfpfad] c:\windows\system32\drivers\flpydisk.sys
[Prüfpfad] c:\windows\system32\drivers\ftdisk.sys
[Prüfpfad] c:\windows\system32\drivers\gameenum.sys
[Prüfpfad] c:\windows\system32\drivers\hcwbt8xx.sys
[Prüfpfad] c:\windows\system32\drivers\hidusb.sys
[Prüfpfad] c:\windows\system32\drivers\i8042prt.sys
[Prüfpfad] c:\windows\system32\drivers\ipfltdrv.sys
[Prüfpfad] c:\windows\system32\drivers\ipinip.sys
[Prüfpfad] c:\windows\system32\drivers\ipnat.sys
[Prüfpfad] c:\windows\system32\drivers\ipsec.sys
[Prüfpfad] c:\windows\system32\drivers\irenum.sys
[Prüfpfad] c:\windows\system32\drivers\isapnp.sys
[Prüfpfad] c:\windows\system32\drivers\kbdclass.sys
[Prüfpfad] c:\windows\system32\drivers\kmixer.sys
[Prüfpfad] c:\windows\system32\drivers\mouclass.sys
[Prüfpfad] c:\windows\system32\drivers\mrxdav.sys
[Prüfpfad] c:\windows\system32\drivers\mrxsmb.sys
[Prüfpfad] c:\windows\system32\drivers\msgpc.sys
[Prüfpfad] c:\windows\system32\drivers\mskssrv.sys
[Prüfpfad] c:\windows\system32\drivers\msmpu401.sys
[Prüfpfad] c:\windows\system32\drivers\mspclock.sys
[Prüfpfad] c:\windows\system32\drivers\mspqm.sys
[Prüfpfad] c:\windows\system32\drivers\nabtsfec.sys
[Prüfpfad] c:\windows\system32\drivers\ndistapi.sys
[Prüfpfad] c:\windows\system32\drivers\ndisuio.sys
[Prüfpfad] c:\windows\system32\drivers\ndiswan.sys
[Prüfpfad] c:\windows\system32\drivers\netbios.sys
[Prüfpfad] c:\windows\system32\drivers\netbt.sys
[Prüfpfad] c:\windows\system32\drivers\nv4_mini.sys
[Prüfpfad] c:\windows\system32\drivers\nwlnkflt.sys
[Prüfpfad] c:\windows\system32\drivers\nwlnkfwd.sys
[Prüfpfad] c:\windows\system32\drivers\parport.sys
[Prüfpfad] c:\windows\system32\drivers\pci.sys
[Prüfpfad] c:\windows\system32\drivers\pciide.sys
[Prüfpfad] c:\windows\system32\drivers\pclepci.sys
[Prüfpfad] c:\windows\system32\drivers\psched.sys
[Prüfpfad] c:\windows\system32\drivers\ptilink.sys
[Prüfpfad] c:\windows\system32\drivers\rasacd.sys
[Prüfpfad] c:\windows\system32\drivers\rasl2tp.sys
[Prüfpfad] c:\windows\system32\drivers\raspppoe.sys
[Prüfpfad] c:\windows\system32\drivers\raspptp.sys
[Prüfpfad] c:\windows\system32\drivers\raspti.sys
[Prüfpfad] c:\windows\system32\drivers\rdbss.sys
[Prüfpfad] c:\windows\system32\drivers\rdpcdd.sys
[Prüfpfad] c:\windows\system32\drivers\rdpdr.sys
[Prüfpfad] c:\windows\system32\drivers\redbook.sys
[Prüfpfad] c:\windows\system32\drivers\rtl8029.sys
[Prüfpfad] c:\windows\system32\drivers\secdrv.sys
[Prüfpfad] c:\windows\system32\drivers\serenum.sys
[Prüfpfad] c:\windows\system32\drivers\serial.sys
[Prüfpfad] c:\windows\system32\drivers\sis7012.sys
[Prüfpfad] c:\windows\system32\drivers\sisagp.sys
[Prüfpfad] c:\windows\system32\drivers\slip.sys
[Prüfpfad] c:\windows\system32\drivers\splitter.sys
[Prüfpfad] c:\windows\system32\drivers\sptd.sys
c:\windows\system32\drivers\sptd.sys - Lesefehler

[Prüfpfad] c:\windows\system32\drivers\sr.sys
[Prüfpfad] c:\windows\system32\drivers\srv.sys
[Prüfpfad] c:\windows\system32\drivers\swenum.sys
[Prüfpfad] c:\windows\system32\drivers\swmidi.sys
[Prüfpfad] c:\windows\system32\drivers\sysaudio.sys
[Prüfpfad] c:\windows\system32\drivers\tcpip.sys
[Prüfpfad] c:\windows\system32\drivers\termdd.sys
[Prüfpfad] c:\windows\system32\drivers\update.sys
[Prüfpfad] c:\windows\system32\drivers\usbhub.sys
[Prüfpfad] c:\windows\system32\drivers\usbohci.sys
[Prüfpfad] c:\windows\system32\drivers\usbstor.sys
[Prüfpfad] c:\windows\system32\drivers\vaxscsi.sys
c:\windows\system32\drivers\vaxscsi.sys - Lesefehler

[Prüfpfad] c:\windows\system32\drivers\vga.sys
[Prüfpfad] c:\windows\system32\drivers\wanarp.sys
[Prüfpfad] c:\windows\system32\drivers\wdmaud.sys
[Prüfpfad] c:\windows\system32\drivers\wstcodec.sys
[Prüfpfad] c:\windows\system32\dskquoui.dll
[Prüfpfad] c:\windows\system32\dsquery.dll
[Prüfpfad] c:\windows\system32\dssec.dll
[Prüfpfad] c:\windows\system32\dsuiext.dll
[Prüfpfad] c:\windows\system32\fontext.dll
[Prüfpfad] c:\windows\system32\gdi32.dll
[Prüfpfad] c:\windows\system32\hticons.dll
[Prüfpfad] c:\windows\system32\icmui.dll
[Prüfpfad] c:\windows\system32\ie4uinit.exe
[Prüfpfad] c:\windows\system32\iedkcs32.dll
[Prüfpfad] c:\windows\system32\iesetup.dll
[Prüfpfad] c:\windows\system32\imagehlp.dll
[Prüfpfad] c:\windows\system32\imapi.exe
[Prüfpfad] c:\windows\system32\inetcomm.dll
[Prüfpfad] c:\windows\system32\itss.dll
[Prüfpfad] c:\windows\system32\kerberos.dll
[Prüfpfad] c:\windows\system32\kernel32.dll
[Prüfpfad] c:\windows\system32\localspl.dll
[Prüfpfad] c:\windows\system32\locator.exe
[Prüfpfad] c:\windows\system32\logonui.exe
[Prüfpfad] c:\windows\system32\lsass.exe
[Prüfpfad] c:\windows\system32\lz32.dll
[Prüfpfad] c:\windows\system32\mdimon.dll
[Prüfpfad] c:\windows\system32\mmcshext.dll
[Prüfpfad] c:\windows\system32\mmsys.cpl
[Prüfpfad] c:\windows\system32\mnmsrvc.exe
[Prüfpfad] c:\windows\system32\mscoree.dll
[Prüfpfad] c:\windows\system32\mscories.dll
[Prüfpfad] c:\windows\system32\msdtc.exe
[Prüfpfad] c:\windows\system32\msdxm.ocx
[Prüfpfad] c:\windows\system32\mshtml.dll
[Prüfpfad] c:\windows\system32\msieftp.dll
[Prüfpfad] c:\windows\system32\msiexec.exe
[Prüfpfad] c:\windows\system32\mstask.dll
[Prüfpfad] c:\windows\system32\msv1_0.dll
[Prüfpfad] c:\windows\system32\msvidctl.dll
[Prüfpfad] c:\windows\system32\mswsock.dll
[Prüfpfad] c:\windows\system32\mydocs.dll
[Prüfpfad] c:\windows\system32\nerocheck.exe
[Prüfpfad] c:\windows\system32\netdde.exe
[Prüfpfad] c:\windows\system32\netplwiz.dll
[Prüfpfad] c:\windows\system32\netshell.dll
[Prüfpfad] c:\windows\system32\ntlanui2.dll
[Prüfpfad] c:\windows\system32\ntsd.exe
[Prüfpfad] c:\windows\system32\ntshrui.dll
[Prüfpfad] c:\windows\system32\nvcpl.dll
[Prüfpfad] c:\windows\system32\nvmctray.dll
[Prüfpfad] c:\windows\system32\nvshell.dll
[Prüfpfad] c:\windows\system32\nvsvc32.exe
[Prüfpfad] c:\windows\system32\nwiz.exe
[Prüfpfad] c:\windows\system32\occache.dll
[Prüfpfad] c:\windows\system32\ole32.dll
[Prüfpfad] c:\windows\system32\oleaut32.dll
[Prüfpfad] c:\windows\system32\olecli32.dll
[Prüfpfad] c:\windows\system32\olecnv32.dll
[Prüfpfad] c:\windows\system32\olesvr32.dll
[Prüfpfad] c:\windows\system32\olethk32.dll
[Prüfpfad] c:\windows\system32\photowiz.dll
[Prüfpfad] c:\windows\system32\pjlmon.dll
[Prüfpfad] c:\windows\system32\printui.dll
[Prüfpfad] c:\windows\system32\prnmnt.dll
[Prüfpfad] c:\windows\system32\regsvr32.exe
[Prüfpfad] c:\windows\system32\remotepg.dll
[Prüfpfad] c:\windows\system32\rpcrt4.dll
[Prüfpfad] c:\windows\system32\rpcss.dll
[Prüfpfad] c:\windows\system32\rshx32.dll
[Prüfpfad] c:\windows\system32\rsvp.exe
[Prüfpfad] c:\windows\system32\rsvpsp.dll
[Prüfpfad] c:\windows\system32\rundll32.exe
[Prüfpfad] c:\windows\system32\scardsvr.exe
[Prüfpfad] c:\windows\system32\scecli.dll
[Prüfpfad] c:\windows\system32\schannel.dll
[Prüfpfad] c:\windows\system32\sclgntfy.dll
[Prüfpfad] c:\windows\system32\sendmail.dll
[Prüfpfad] c:\windows\system32\services.exe
[Prüfpfad] c:\windows\system32\sessmgr.exe
[Prüfpfad] c:\windows\system32\shdocvw.dll
[Prüfpfad] c:\windows\system32\shell32.dll
[Prüfpfad] c:\windows\system32\shimgvw.dll
[Prüfpfad] c:\windows\system32\shmedia.dll
[Prüfpfad] c:\windows\system32\shscrap.dll
[Prüfpfad] c:\windows\system32\slayerxp.dll
[Prüfpfad] c:\windows\system32\smlogsvc.exe
[Prüfpfad] c:\windows\system32\smss.exe
[Prüfpfad] c:\windows\system32\spoolsv.exe
[Prüfpfad] c:\windows\system32\stobject.dll
[Prüfpfad] c:\windows\system32\svchost.exe
[Prüfpfad] c:\windows\system32\syncui.dll
[Prüfpfad] c:\windows\system32\tcpmon.dll
[Prüfpfad] c:\windows\system32\themeui.dll
[Prüfpfad] c:\windows\system32\tlntsvr.exe
[Prüfpfad] c:\windows\system32\updcrl.exe
[Prüfpfad] c:\windows\system32\ups.exe
[Prüfpfad] c:\windows\system32\url.dll
[Prüfpfad] c:\windows\system32\urlmon.dll
[Prüfpfad] c:\windows\system32\usbmon.dll
[Prüfpfad] c:\windows\system32\user32.dll
[Prüfpfad] c:\windows\system32\verisignpub1.crl
[Prüfpfad] c:\windows\system32\version.dll
[Prüfpfad] c:\windows\system32\vssvc.exe
[Prüfpfad] c:\windows\system32\wbem\wmiapsrv.exe
[Prüfpfad] c:\windows\system32\wdfmgr.exe
[Prüfpfad] c:\windows\system32\wdigest.dll
[Prüfpfad] c:\windows\system32\webcheck.dll
[Prüfpfad] c:\windows\system32\wiascr.dll
[Prüfpfad] c:\windows\system32\wiashext.dll
[Prüfpfad] c:\windows\system32\wininet.dll
[Prüfpfad] c:\windows\system32\winlogon.exe
[Prüfpfad] c:\windows\system32\wldap32.dll
[Prüfpfad] c:\windows\system32\wlnotify.dll
[Prüfpfad] c:\windows\system32\wmpshell.dll
[Prüfpfad] c:\windows\system32\wshext.dll
[Prüfpfad] c:\windows\system32\wuauclt.exe
[Prüfpfad] c:\windows\system32\wuaucpl.cpl
[Prüfpfad] c:\windows\system32\zipfldr.dll
[Prüfpfad] d:\ruben\programme\protect\dr.web\drweb-cureit.exe
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 293
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 5021 Kb/s
Dauer:: 00:00:21
-----------------------------------------------------------------------------

[Prüfpfad] C:\
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\Administrator\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe\Acrobat\7.0\Updater\udlog.txt - Lesefehler
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
>C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MyGlobalSearch.exe\data003 ist ein Adware-Programm Adware.Msearch
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MyGlobalSearch.exe - Archiv enthält infizierte Objekte - verschoben
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF503C.tmp - Lesefehler
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF54B0.tmp - Lesefehler
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF8D46.tmp - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Program Files\j2.exe - Lesefehler
C:\Programme\Mozilla Firefox\plugins\NPMyGlSh.dll ist ein Adware-Programm Adware.Msearch
C:\Programme\MyGlobalSearch\bar\2.bin\NPMYGLSH.DLL ist ein Adware-Programm Adware.Msearch
>C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP184\A0150247.exe ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP184\A0150248.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP184\A0150255.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP184\A0150257.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP184\A0150262.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP184\A0150275.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP185\A0150309.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP185\A0150318.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP185\A0150343.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP185\A0150349.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP185\A0150364.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0150410.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0150423.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0151423.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0151424.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0152423.sys - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0152424.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0153432.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154432.sys - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154433.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154434.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154453.exe - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154459.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154460.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154583.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154584.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154595.sys - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154596.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154597.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154609.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154610.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154646.sys - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154647.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154648.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154670.sys - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154671.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0154672.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155681.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155682.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155691.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155692.dll ist ein Adware-Programm Adware.Zango
>C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155694.exe ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155960.dll ist ein Adware-Programm Adware.Zango
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155989.sys - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0155990.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0156023.exe - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0156024.exe - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0156026.dll infiziert mit Trojan.PWS.Zhengtu - gelöscht
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP186\A0156029.sys - Lesefehler
C:\System Volume Information\_restore{4183FFA0-E01D-422C-B100-D2A61F1167BD}\RP187\A0157089.exe - Lesefehler
C:\WINDOWS\SoftwareDistribution\EventCache\{428BE~1.BIN - Lesefehler
C:\WINDOWS\system32\H@tKeysH@@k.DLL ist ein Hacktool Tool.Hatkeys
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\software - Lesefehler
C:\WINDOWS\system32\config\software.LOG - Lesefehler
C:\WINDOWS\system32\config\system - Lesefehler
C:\WINDOWS\system32\config\system.LOG - Lesefehler
C:\WINDOWS\system32\drivers\sptd.sys - Lesefehler
C:\WINDOWS\system32\drivers\vaxscsi.sys - Lesefehler

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 117732
Infizierte Objekte gefunden: 14
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 28
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 1
Desinfizierte Objekte: 0
Gelöschte Objekte: 14
Umbenannte Objekte: 0
Verschobene Objekte: 1
Ignorierte Objekte: 0
Leistung:: 645 Kb/s
Dauer:: 01:14:25
-----------------------------------------------------------------------------

Vielleicht ist es noch sinnvoll zu erwähnen, dass während des Scans AntiVir ziemlich oft Alarm geschlagen hat...

#8 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

2.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Windows\System32\Com

01.12.2005 09:14 <DIR> .
01.12.2005 09:14 <DIR> ..
06.03.2004 03:05 187.904 comadmin.dll
18.08.2001 13:00 61.440 comempty.dat
18.08.2001 13:00 77.348 comexp.msc
17.02.2004 19:49 8.192 comrepl.exe
18.08.2001 13:00 5.120 comrereg.exe
18.08.2001 13:00 19.456 mtsadmin.tlb
6 Datei(en) 359.460 Bytes
2 Verzeichnis(se), 1.981.407.232 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Windows\system32\config

29.11.2005 14:41 <DIR> .
29.11.2005 14:41 <DIR> ..
01.11.2006 04:34 524.288 AppEvent.Evt
01.11.2006 04:34 262.144 default
29.11.2005 15:01 94.208 default.sav
01.11.2006 04:34 262.144 SAM
29.11.2005 14:34 65.536 SecEvent.Evt
01.11.2006 04:34 262.144 SECURITY
01.11.2006 04:34 34.340.864 software
29.11.2005 15:01 634.880 software.sav
01.11.2006 04:34 524.288 SysEvent.Evt
01.11.2006 13:08 3.145.728 system
29.11.2005 15:01 401.408 system.sav
01.12.2005 09:17 <DIR> systemprofile
29.11.2005 15:01 262.144 userdiff
12 Datei(en) 40.779.776 Bytes
3 Verzeichnis(se), 1.981.403.136 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.05.2005 04:19 293 muweb.inf
01.08.2006 13:47 375 PhotoUploader.inf
01.08.2006 13:47 2.332.424 PhotoUploader.ocx
03.06.2004 09:04 524.445 RdxIE.dll
22.06.2006 10:41 5.032 swflash.inf
26.05.2005 04:19 291 wuweb.inf
6 Datei(en) 2.862.860 Bytes
0 Verzeichnis(se), 1.981.403.136 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Dokumente und Einstellungen\Administrator

01.11.2006 13:22 <DIR> .
01.11.2006 13:22 <DIR> ..
23.07.2006 21:22 <DIR> .limewire
14.05.2006 21:51 <DIR> Application Data
01.11.2006 16:47 <DIR> Desktop
01.11.2006 13:29 <DIR> DoctorWeb
19.10.2006 16:47 <DIR> Eigene Dateien
04.10.2006 16:20 <DIR> Favoriten
28.12.2005 20:59 <DIR> Incomplete
06.10.2006 16:49 <DIR> Startmen�
20.12.2005 20:57 <DIR> VSWebCache
29.11.2005 14:50 <DIR> WINDOWS
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 1.981.403.136 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B


Verzeichnis von C:\Program Files

01.11.2006 13:33 <DIR> .
01.11.2006 13:33 <DIR> ..
24.05.2006 20:23 <DIR> ICQLite
27.10.2006 20:35 3.952 j4.exe
1 Datei(en) 3.952 Bytes
3 Verzeichnis(se), 1.981.399.040 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

01.11.2006 16:47 <DIR> .
01.11.2006 16:47 <DIR> ..
27.10.2006 23:25 257 1F1205F7.TMP
01.11.2006 13:14 426 Acr1.tmp
26.07.2002 18:02 153.088 GLB1A2B.EXE
30.10.2006 23:21 851 GLC20.tmp
01.11.2006 13:18 1.185 jusched.log
21.09.2006 15:49 314.600 MediaBar.exe
31.10.2006 17:15 222.136 MSI232dc.LOG
01.11.2006 13:22 <DIR> RarSFX0
30.10.2006 23:48 31 searchurl_de_de.txt
01.11.2006 16:47 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}26457.html
01.11.2006 16:40 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}8747.html
31.10.2006 19:04 693 TWAIN.LOG
31.10.2006 19:04 2 Twain001.Mtx
31.10.2006 19:04 156 Twunk001.MTX
31.10.2006 17:30 0 Twunk002.MTX
01.11.2006 15:38 <DIR> VBE
01.11.2006 15:45 16.384 ~DF18F9.tmp
01.11.2006 15:45 512 ~DF1905.tmp
01.11.2006 15:45 16.384 ~DF1915.tmp
01.11.2006 15:45 512 ~DF1921.tmp
01.11.2006 15:45 16.384 ~DF1931.tmp
01.11.2006 16:32 32.768 ~DF193D.tmp
01.11.2006 15:45 16.384 ~DF194D.tmp
01.11.2006 16:44 49.152 ~DF1959.tmp
01.11.2006 13:49 16.384 ~DF37F7.tmp
01.11.2006 13:49 512 ~DF3808.tmp
30.10.2006 23:09 16.384 ~DF3F4D.tmp
01.11.2006 13:49 16.384 ~DF4418.tmp
30.10.2006 23:09 16.384 ~DF459E.tmp
01.11.2006 13:14 512 ~DF503C.tmp
01.11.2006 13:09 512 ~DF54B0.tmp
01.11.2006 04:13 16.384 ~DF59F6.tmp
01.11.2006 04:13 16.384 ~DF5FA5.tmp
01.11.2006 13:20 512 ~DF8D46.tmp
01.11.2006 16:45 512 ~DFBFC0.tmp
01.11.2006 13:31 314.374 ~WRS0002.tmp
34 Datei(en) 1.259.104 Bytes
4 Verzeichnis(se), 1.981.399.040 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\WINDOWS\Temp

31.10.2006 23:08 <DIR> .
31.10.2006 23:08 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.981.394.944 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Temp

11.01.2006 21:42 <DIR> .
11.01.2006 21:42 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 1.981.394.944 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Programme

30.10.2006 23:48 <DIR> .
30.10.2006 23:48 <DIR> ..
24.07.2006 19:59 <DIR> Adobe
30.09.2006 18:20 <DIR> Alcohol Soft
18.09.2006 08:39 <DIR> AntiVir PersonalEdition Classic
21.08.2006 19:00 <DIR> BearShare
30.10.2006 23:48 <DIR> BearShare MediaBar
06.02.2006 18:55 <DIR> CleanUp!
29.11.2005 14:28 <DIR> ComPlus Applications
25.12.2005 16:09 <DIR> CyberLink
20.02.2006 15:02 <DIR> ewido anti-malware
23.10.2006 13:57 <DIR> Gemeinsame Dateien
23.10.2006 13:55 <DIR> Google
24.07.2006 20:02 <DIR> ICQ
08.08.2006 19:16 <DIR> ICQLite
28.08.2006 17:23 <DIR> ICQToolbar
29.11.2005 22:31 457 INSTALL.LOG
19.12.2005 22:58 <DIR> Internet Explorer
03.06.2006 22:02 <DIR> Java
29.11.2005 14:34 <DIR> microsoft frontpage
07.02.2006 11:11 <DIR> Microsoft Office
30.11.2005 11:03 <DIR> Microsoft Visual Studio
30.11.2005 11:03 <DIR> Microsoft Works
29.11.2005 23:07 <DIR> Microsoft.NET
29.11.2005 14:29 <DIR> Movie Maker
01.11.2006 04:01 <DIR> Mozilla Firefox
20.12.2005 22:16 <DIR> MSDN
29.11.2005 14:28 <DIR> MSN
29.11.2005 14:27 <DIR> MSN Gaming Zone
18.08.2006 22:24 <DIR> MyGlobalSearch
01.12.2005 09:16 <DIR> NetMeeting
25.12.2005 16:38 <DIR> NimoCodec Pack
29.11.2005 14:28 <DIR> Online Services
29.11.2005 14:30 <DIR> Online-Dienste
19.12.2005 22:56 <DIR> Outlook Express
27.10.2006 21:59 <DIR> RamBooster
23.10.2006 13:54 <DIR> Real
02.12.2005 23:32 <DIR> Roxio
29.11.2005 14:51 <DIR> SiS7012
29.11.2005 22:12 <DIR> TV Movie
25.09.2006 20:20 68 US
29.11.2005 22:18 <DIR> ViennaSoft
25.12.2005 22:27 <DIR> WinAce
16.02.2006 11:12 <DIR> Winamp
29.11.2005 22:17 <DIR> Windows Media Player
29.11.2005 14:27 <DIR> Windows NT
29.11.2005 22:11 <DIR> WinTV
03.12.2005 12:32 <DIR> WinZip
03.12.2005 12:29 <DIR> WinZip Self-Extractor
29.11.2005 14:34 <DIR> xerox
25.09.2006 20:20 70 [PC
3 Datei(en) 595 Bytes
48 Verzeichnis(se), 1.981.394.944 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten

02.12.2005 12:11 <DIR> Adobe
01.01.2006 15:45 <DIR> ApplicationHistory
30.10.2006 23:56 154.112 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
20.12.2005 00:05 146 fusioncache.dat
10.05.2006 19:18 99.536 GDIPFONTCACHEV1.DAT
23.10.2006 13:55 <DIR> Google
29.11.2005 22:21 <DIR> Help
29.10.2006 21:17 <DIR> Identities
27.03.2006 16:42 <DIR> Macromedia
06.10.2006 23:44 <DIR> Microsoft
20.12.2005 00:05 <DIR> Microsoft Help
23.10.2006 14:00 <DIR> Mozilla
30.09.2006 16:54 <DIR> Oblivion
07.02.2006 14:53 <DIR> Roxio
3 Datei(en) 253.794 Bytes
11 Verzeichnis(se), 1.981.394.944 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

03.03.2006 14:39 <DIR> Adobe
03.12.2005 13:43 <DIR> AdobeUM
06.10.2006 17:12 <DIR> Ahead
06.02.2006 19:17 <DIR> Azureus
05.06.2006 18:11 <DIR> Google
29.11.2005 22:21 <DIR> Help
29.11.2005 22:31 <DIR> ICQ
11.01.2006 21:43 <DIR> ICQLite
29.11.2005 14:42 <DIR> Identities
25.12.2005 22:51 <DIR> Leadertech
29.11.2005 23:03 <DIR> Macromedia
06.10.2006 22:02 <DIR> Meine Die Schlacht um MittelerdeT II-Dateien
23.10.2006 14:00 <DIR> Mozilla
09.01.2006 22:35 <DIR> MSN6
06.10.2006 18:59 <DIR> My Battle for Middle-earth(tm) II Files
02.12.2005 23:50 <DIR> Opera
23.10.2006 14:02 <DIR> Real
09.02.2006 12:30 <DIR> Roxio
30.11.2005 20:36 <DIR> Sun
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 1.981.390.848 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

09.03.2006 22:54 305 addr_file.html
30.11.2005 21:26 <DIR> Adobe
30.11.2005 22:24 <DIR> Adobe Systems
31.10.2006 23:13 <DIR> AntiVir PersonalEdition Classic
25.12.2005 16:09 <DIR> CyberLink
06.10.2006 15:56 13 DragToDiscUserNameE.txt
21.12.2005 11:22 <DIR> Microsoft Help
09.01.2006 12:19 <DIR> MSN6
29.11.2005 14:57 <DIR> nView_Profiles
02.12.2005 23:32 <DIR> Roxio
2 Datei(en) 318 Bytes
8 Verzeichnis(se), 1.981.390.848 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Programme\Gemeinsame Dateien

23.10.2006 13:57 <DIR> .
23.10.2006 13:57 <DIR> ..
01.04.2006 16:21 <DIR> Adobe
30.11.2005 21:29 <DIR> Adobe Systems Shared
06.10.2006 17:07 <DIR> Ahead
19.12.2005 23:17 <DIR> Crystal Decisions
08.02.2006 18:58 <DIR> DESIGNER
19.12.2005 22:56 <DIR> Dienste
25.12.2005 16:08 <DIR> InstallShield
29.11.2005 22:27 <DIR> Java
20.12.2005 00:01 <DIR> Merge Modules
08.02.2006 19:03 <DIR> Microsoft Shared
29.11.2005 14:29 <DIR> MSSoap
29.11.2005 14:03 <DIR> ODBC
23.10.2006 13:56 <DIR> Real
02.12.2005 23:38 <DIR> Roxio Shared
29.11.2005 14:03 <DIR> SpeechEngines
07.02.2006 11:11 <DIR> System
23.10.2006 13:57 <DIR> xing shared
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 1.981.390.848 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0F3-966B

Verzeichnis von C:\Windows\tasks

#10 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\Program Files\j4.exe
C:\Programme\Mozilla Firefox\plugins\NPMyGlSh.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\1F1205F7.TMP
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Acr1.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\GLB1A2B.EXE
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\GLC20.tmp
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MediaBar.exe

Folders to delete:
C:\Programme\MyGlobalSearch
C:\Programme\BearShare
C:\Programme\BearShare MediaBar

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
scanne - stelle dann alles auf "remove" und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hier das Log von Counterspy

Spyware Scan Details
Start Date: 01.11.2006 19:59:58
End Date: 01.11.2006 20:55:35
Total Time: 55 mins 37 secs

Detected spyware

BearShare P2P Program more information...
Details: BearShare is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Infected files detected
c:\programme\bearshare\bearshare.dat
c:\programme\bearshare\freepeers.ini
c:\programme\bearshare\proinstall2.ini
c:\programme\bearshare\db\config.bin
c:\programme\bearshare\db\gwebcache.dat
c:\programme\bearshare\db\hostiles-chat.txt
c:\programme\bearshare\db\hostiles.txt
c:\programme\bearshare\db\library.2.db
c:\programme\bearshare\db\library.2.db.lastgoodload.bak
c:\programme\bearshare\db\library.db
c:\programme\bearshare\db\library.db.lastgoodload.bak
c:\programme\bearshare\db\searches.ini
c:\programme\bearshare\installer\bsinstallde_de5.2.5.5.exe
c:\programme\bearshare\logs\hosts-state.txt
c:\programme\bearshare\logs\memory.txt
c:\programme\bearshare\logs\ordinal.txt
c:\programme\bearshare\logs\streams.txt
c:\dokumente und einstellungen\all users\startmenü\programme\bearshare.lnk
c:\dokumente und einstellungen\administrator\desktop\bearshare downloads.lnk
c:\dokumente und einstellungen\administrator\desktop\bearshare.lnk
D:\Ruben\Programme\Shares\BSidle.dll
D:\Ruben\Programme\Shares\Webstats.exe
D:\Ruben\Programme\Shares\Webstats.ini
D:\Ruben\Programme\Shares\RunMSC.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\gnufile
HKEY_CLASSES_ROOT\gnufile\shell\open\command "D:\Ruben\Programme\Shares\BearShare.exe" "%1"
HKEY_CLASSES_ROOT\gnufile gnutella
HKEY_CLASSES_ROOT\gnufile BrowserFlags 8
HKEY_CLASSES_ROOT\gnufile EditFlags 65536
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\0\win32 D:\Ruben\Programme\Shares\RunMSC.dll
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0\HELPDIR D:\Ruben\Programme\Shares\
HKEY_CLASSES_ROOT\typelib\{905d0df2-3a0a-4d94-853c-54a12a745905}\1.0 RunMSC 1.0 Type Library
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg
HKEY_CURRENT_USER\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current D:\Ruben\Programme\Shares\sounds\notify.wav
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_CURRENT_USER\appevents\schemes\apps\bearshare BearShare
HKEY_LOCAL_MACHINE\software\bearshare
HKEY_LOCAL_MACHINE\software\bearshare vinfo fpbear
HKEY_LOCAL_MACHINE\software\bearshare InstallDir D:\Ruben\Programme\Shares
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayName BearShare
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare UninstallString D:\Ruben\PROGRA~1\Shares\UNWISE.EXE D:\Ruben\PROGRA~1\Shares\INSTALL.LOG
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayVersion 5.2.5.9DE
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare HelpLink http://bearshare.de/Help/index.htm
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare Publisher Free Peers, Inc.
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare URLInfoAbout http://www.freepeers.com
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\bearshare DisplayIcon D:\Ruben\Programme\Shares\BearShare.exe,-128
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg
HKEY_USERS\.default\appevents\eventlabels\bearsharechatnotifymsg Chat Message Waiting
HKEY_USERS\.default\appevents\schemes\apps\bearshare
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg\.Current D:\Ruben\Programme\Shares\sounds\notify.wav
HKEY_USERS\.default\appevents\schemes\apps\bearshare\BearShareChatNotifyMsg
HKEY_USERS\.default\appevents\schemes\apps\bearshare BearShare
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32 %SystemRoot%\System32\mshtml.dll
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E}\InProcServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} IntDitherer Class
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} chugWkx |Zp@u\JddTlOSc]Sa\G\Kyu
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} qQetmCOJw dn_F|IKBUaX\lV[}DMv]ikBcLth
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} pojKqCoo nuYma_FmPIqWLj~~hKDyAb
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} zxnfcbxCyhupy hs[xxSamZSb^|Ww~@FyYAxj
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} mvktdBcokk TcetmBf||jUEbZGbtVGL@a_Sv{C
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} gnyvtDgls AHggqvN_E{jnljEjBrgkx[
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} mjbblwxpeXva |Ws[`gp`aExHEIkAwrCa{YwNyc}p
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} knkAoIuoDetj YoFTNzQzs]JT]u[CRaG[unquPCQ
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} popnzWjqbMt Ag~|QgK\}IhNlGV|d
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} Qlva \FRYCQi\PDi[HueFXDnxhQpGHY
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} pkwoklnO Aki@Mo{txtLh@N`HS
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} hzneOcjVjj joiu`egUqteKJvTH_|
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} iMqKtPqeq Em[Pzg|N`ak{WaSqpezvbCpL
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} tiicsl w\}lmokjLE]Z]YIOg
HKEY_CLASSES_ROOT\CLSID\{558EC983-BEDB-9168-B2DE-31DBF0EE543E} nmeeywza hrS`NvYrG}HG\flU[PhAwY
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Version 5,2,5,9
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} ComponentID BearShare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} IsInstalled 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5F95E1AF-2620-4f15-BDF9-7FDCE4607E17} Locale DE


MyGlobalSearch.Toolbar Potentially Unwanted Program more information...
Details: MyGlobalSearch.Toolbar is an IE plugin with its own Search Field.
Status: Deleted

Infected files detected
c:\programme\myglobalsearch\bar\2.bin\m9ffxtbr.jar
c:\programme\myglobalsearch\bar\2.bin\m9ffxtbr.manifest
c:\programme\myglobalsearch\bar\2.bin\m9ntstbr.jar
c:\programme\myglobalsearch\bar\2.bin\m9ntstbr.manifest
c:\programme\myglobalsearch\bar\2.bin\m9plugin.dll
c:\programme\myglobalsearch\bar\2.bin\mgsbar.dll
c:\programme\myglobalsearch\bar\2.bin\npmyglsh.dll
c:\programme\myglobalsearch\bar\cache\001a77b2
c:\programme\myglobalsearch\bar\cache\001a7c55
c:\programme\myglobalsearch\bar\cache\001a7e0b.bin
c:\programme\myglobalsearch\bar\cache\001a82dd.bin
c:\programme\myglobalsearch\bar\cache\001a85ac.bin
c:\programme\myglobalsearch\bar\cache\files.ini
c:\programme\myglobalsearch\bar\history\search
c:\programme\myglobalsearch\bar\settings\prevcfg.htm

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}\InprocServer32 C:\Programme\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
HKEY_CLASSES_ROOT\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}\TypeLib {37B85A20-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404} My Global Search Bar BHO
HKEY_CLASSES_ROOT\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\InprocServer32 C:\Programme\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
HKEY_CLASSES_ROOT\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}\TypeLib {37B85A20-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404} My Global Search Bar
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\InprocServer32 C:\Programme\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\MiscStatus\1 131473
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\MiscStatus 0
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\ProgID MyGlobalSearchBar.SettingsPlugin.1
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\TypeLib {37B85A20-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\Version 1.0
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404}\VersionIndependentProgID MyGlobalSearchBar.SettingsPlugin
HKEY_CLASSES_ROOT\CLSID\{37B85A2B-692B-4205-9CAD-2626E4993404} My Global Search Bar Settings
HKEY_CLASSES_ROOT\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}\TypeLib {37B85A20-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404} IMyGlobalSearchSettings
HKEY_CLASSES_ROOT\Interface\{37B85A2C-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\Interface\{37B85A2C-692B-4205-9CAD-2626E4993404}\ProxyStubClsid {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{37B85A2C-692B-4205-9CAD-2626E4993404}\ProxyStubClsid32 {00020420-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\Interface\{37B85A2C-692B-4205-9CAD-2626E4993404}\TypeLib {37B85A20-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\Interface\{37B85A2C-692B-4205-9CAD-2626E4993404}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\Interface\{37B85A2C-692B-4205-9CAD-2626E4993404} _IMyGlobalSearchSettingsEvents
HKEY_CLASSES_ROOT\MyGlobalSearchBar.SettingsPlugin
HKEY_CLASSES_ROOT\MyGlobalSearchBar.SettingsPlugin\CLSID {37B85A2B-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\MyGlobalSearchBar.SettingsPlugin\CurVer MyGlobalSearchBar.SettingsPlugin.1
HKEY_CLASSES_ROOT\MyGlobalSearchBar.SettingsPlugin My Global Search Bar Settings Plugin
HKEY_CLASSES_ROOT\MyGlobalSearchBar.SettingsPlugin.1
HKEY_CLASSES_ROOT\MyGlobalSearchBar.SettingsPlugin.1\CLSID {37B85A2B-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\MyGlobalSearchBar.SettingsPlugin.1 My Global Search Bar Settings Plugin
HKEY_CLASSES_ROOT\MyGlobalSearchBar.ToolbarPlugin
HKEY_CLASSES_ROOT\MyGlobalSearchBar.ToolbarPlugin\CLSID {EF281620-A3A3-4f08-874F-D68CFC9B7945}
HKEY_CLASSES_ROOT\MyGlobalSearchBar.ToolbarPlugin\CurVer MyGlobalSearchBar.ToolbarPlugin.1
HKEY_CLASSES_ROOT\MyGlobalSearchBar.ToolbarPlugin MyGlobalSearch Toolbar Plugin
HKEY_CLASSES_ROOT\MyGlobalSearchBar.ToolbarPlugin.1
HKEY_CLASSES_ROOT\MyGlobalSearchBar.ToolbarPlugin.1\CLSID {EF281620-A3A3-4f08-874F-D68CFC9B7945}
HKEY_CLASSES_ROOT\MyGlobalSearchBar.ToolbarPlugin.1 MyGlobalSearch Toolbar Plugin
HKEY_CLASSES_ROOT\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}
HKEY_CLASSES_ROOT\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0\0\win32 C:\Programme\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
HKEY_CLASSES_ROOT\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0\FLAGS 0
HKEY_CLASSES_ROOT\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0\HELPDIR C:\Programme\MyGlobalSearch\bar\2.bin\
HKEY_CLASSES_ROOT\TypeLib\{37B85A20-692B-4205-9CAD-2626E4993404}\1.0 Toolbar 1.0 Type Library
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\My Global Search Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\My Global Search Uninstall SlowInfoCache
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\My Global Search Uninstall Changed 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37B85A21-692B-4205-9CAD-2626E4993404}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37B85A21-692B-4205-9CAD-2626E4993404} My Global Search Bar BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall DisplayName My Global Search Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall HelpLink http://help.myglobalsearch.com/searchbar.html
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall Publisher My Global Search Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall UninstallString rundll32 C:\PROGRA~1\MYGLOB~1\bar\2.bin\mgsBar.dll,O
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall UrlInfoAbout http://www.myglobalbsearch.com/jsp/softwareterms.jsp
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar pid IK
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Dir C:\Programme\MyGlobalSearch\bar\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar PluginPath C:\Programme\MyGlobalSearch\bar\2.bin\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar CurInstall 2
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar sr 0
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar pl 7
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Id 760FD2CF-0DCC-42A5-86C5-B5CA9F915540
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar CacheDir C:\Programme\MyGlobalSearch\bar\Cache\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar HistoryDir C:\Programme\MyGlobalSearch\bar\History\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar SettingsDir C:\Programme\MyGlobalSearch\bar\Settings\
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Flags 530
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Maximized 1
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar Visible 1
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar ConfigRevision 5
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar ConfigRevisionURL http://cfg.myglobalsearch.com/barcfg.jsp?s=gs&p=IK
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar ConfigDateStamp 2006103017
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar NextConfigRequest IORnPgf.xgE-
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch\bar LastConfigRequest IKwaGe79xgE-


NewDotNet Browser Plug-in more information...
Details: New.Net is an Internet Explorer spyware/hijacker plug-in that adds subdomains of 'new.net' to your name resolution system (Windows Host file), resulting in what appear to be extra top-level domains (.shop, and so on) being resolvable.
Status: Deleted

Infected files detected
c:\windows\ndnuninstall7_14.exe

Infected registry entries detected
HKEY_CURRENT_USER\Software\New.net


LimeWire P2P Program more information...
Status: Deleted

Infected files detected
C:\StubInstaller.exe


Zango.SearchAssistant Adware (General) more information...
Details: Zango Search Assistant opens new browser windows showing websites based on the previous websites you visit.
Status: Deleted

Infected files detected
D:\Ruben\Programme\Shares\BearShareZangoInstaller.exe


WhenU.Save Adware (General) more information...
Details: WhenU.SaveNow is an adware application that displays pop-up advertising on the desktop in response to users' web browsing.
Status: Deleted

Infected files detected
D:\Ruben\Programme\Shares\RunMSC.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid
HKEY_CLASSES_ROOT\runmsc.loader.1\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\clsid
HKEY_CLASSES_ROOT\runmsc.loader\clsid {9F95F736-0F62-4214-A4B4-CAA6738D4C07}
HKEY_CLASSES_ROOT\runmsc.loader\curver
HKEY_CLASSES_ROOT\runmsc.loader\curver RunMSC.Loader.1
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\ProxyStubClsid32 {00020424-0000-0000-C000-000000000046}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97}\TypeLib Version 1.0
HKEY_CLASSES_ROOT\interface\{c285d18d-43a2-4aef-83fb-bf280e660a97} ILoader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 D:\Ruben\Programme\Shares\RunMSC.dll
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\ProgID RunMSC.Loader.1
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\TypeLib {905D0DF2-3A0A-4D94-853C-54A12A745905}
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07}\VersionIndependentProgID RunMSC.Loader
HKEY_CLASSES_ROOT\clsid\{9f95f736-0f62-4214-a4b4-caa6738d4c07} Loader Class


eDonkey2000 P2P Program more information...
Details: eDonkey2000 is a peer-to-peer (P2P) application that allows its users to join together in a network via the Internet and share files from each other's hard drives.
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\InProcServer32 C:\Programme\eDonkey2000\plugins\ed2kie.dll
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\InProcServer32 ThreadingModel Both
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\ProgID eD2KDownloadManager.object.1
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\TypeLib {379919F2-1612-45B7-B9F4-773F6D5214F5}
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620}\VersionIndependentProgID eD2KDownloadManager.object
HKEY_CLASSES_ROOT\CLSID\{320154BB-D666-48F6-990E-172B32954620} eD2K downloadManager object


My Way Speedbar Potentially Unwanted Program more information...
Details: MyWay Speedbar is a search toolbar that installs into Internet Explorer and Netscape Navigator, adding search functions and popup blocking.
Status: Deleted

Infected files detected
c:\programme\myglobalsearch\bar\2.bin\mgsbar.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10}
HKEY_CLASSES_ROOT\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10}\InprocServer32 C:\Programme\MyGlobalSearch\bar\2.bin\MGSBAR.DLL
HKEY_CLASSES_ROOT\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10}


Eqiso Toolbar more information...
Status: Deleted

Infected files detected
c:\programme\bearshare mediabar\mediabar.dll

Infected registry entries detected
HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419}
HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419}\InprocServer32 C:\Programme\BearShare MediaBar\MediaBar.dll
HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419}\InprocServer32 ThreadingModel Apartment
HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419}\ProgID XBTB01621.XBTB01621.1
HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419}\TypeLib {4388B5C4-830A-42ad-94F6-487B6AA05767}
HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419}\VersionIndependentProgID XBTB01621.XBTB01621
HKEY_CLASSES_ROOT\CLSID\{B7D3E479-CC68-42B5-A338-938ECE35F419} BearShare MediaBar




Was ist jetzt zu tun??

#12 du hast den Avenger nicht angewendet
wenn du nicht machst, was ich schreibe, kann ich dir auch nicht weiterhelfen
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hm.. doch der Avenger wurde angewendet (mittlerweile auch ein 2.mal)
Es kam jedoch lediglich die Meldung "konnte avenger txt nicht finden) und ein leeres txt dokument erschien...

Habe ich irgendeinen Zwischenschritt vergessen?

#14 der avenger wurde nicht korrekt angewendet, denn Counterspy hat teilweise rausgeloescht, was eigentlich der avenger erledigen sollte.

loesche manuell: C:\Program Files\j4.exe - dann sollte der Rechner wieder einigermassen clean sein
__________
MfG Sabina

rund um die PC-Sicherheit