Antivir findet TR/PSW.PdPi.CT.1.D, läst sich nicht löschen!!!

#31 hab schon wieder das problem mti avenger, es lässt sich nicht starten. nach dem doppelklick bleibt jede reaktion aus.

gibt es evtl ein alternativprogramm?

#32 swifffer

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CashBack]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ntskrnl.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\scsiusr4]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ÑÒFMÎN.EXE]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\scsipsrvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\scsipsrvc]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scsipsrvc]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9DB0BC1-9BA5-8840-A638-86FBA9755B3D}]

««
Killbox
http://virus-protect.org/killbox.html
Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\system.exe
C:\WINDOWS\3.EXE
C:\WINDOWS\1.bat
C:\WINDOWS\ntskrnl.exe
C:\WINDOWS\¥ãFM×N.EXE
C:\WINDOWS\ntskrnl.exe
C:\WINDOWS\system32\ksl48.bin
c:\WINDOWS\system32\scsipsrvc.sys
c:\WINDOWS\system32\scsiusr4.dll

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

----------------------------------------------------------------------------

dann boote wieder in den normalmodus und poste noch mal das neue Combofix-Log + kopiere nochmal in regsearch: scsipsrvc - und poste das log
__________
MfG Sabina

rund um die PC-Sicherheit

#33 combofix:

Dr.SwifT - 06-12-08 19:03:28,09 Service Pack 1
ComboFix 06.11.27W - Running from: "E:\"

((((((((((((((((((((((((((((((( Files Created from 2006-11-08 to 2006-12-08 ))))))))))))))))))))))))))))))))))


2006-12-08 17:56 <DIR> d-------- C:\!KillBox
2006-12-07 18:22 668 --a------ C:\datFind.bat
2006-12-05 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Lavasoft
2006-12-02 22:12 6,864 --------- C:\WINDOWS\system32\scsipsrvc.sys
2006-12-02 19:26 5,892 C:\WINDOWS\¥OFMIN.EXE
2006-11-24 23:24 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-24 18:15 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-11-24 18:15 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-11-24 18:15 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-11-24 18:15 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-11-24 18:15 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-11-24 18:15 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-11-24 18:14 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2006-11-24 18:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\UserData
2006-11-19 11:16 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-11-19 11:16 <DIR> d-------- C:\Programme\Hamachi
2006-11-19 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Hamachi
2006-11-18 10:26 <DIR> d-------- C:\Programme\TVAnts
2006-11-14 21:39 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-11-14 21:36 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-04 18:29 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-04 18:17 11973 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-02 19:26 5892 --a------ C:\WINDOWS\¥OFMIN.EXE
2006-11-26 18:58 -------- d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Microsoft
2006-11-24 23:51 -------- d-------- C:\Programme\Gemeinsame Dateien\InterVideo
2006-11-24 22:34 -------- d-------- C:\Programme\PartyGaming.Net
2006-11-24 18:15 -------- d--h----- C:\Programme\WindowsUpdate
2006-11-21 22:22 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-14 22:44 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-12 14:13 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\teamspeak2
2006-11-07 16:34 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-05 11:14 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\BitTorrent
2006-11-05 11:13 -------- d-------- C:\Programme\BitTorrent
2006-10-20 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"E:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-08 19:06:49.87
C:\ComboFix.txt ... 06-12-08 19:06
C:\ComboFix2.txt ... 06-12-07 18:18
C:\ComboFix3.txt ... 06-10-31 19:12



regsearch:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 08.12.2006 19:08:33 for strings:
; 'scsipsrvc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC\0000]
"Service"="scsipsrvc"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC\0000]
"Service"="scsipsrvc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC\0000]
"Service"="scsipsrvc"

; End Of The Log...

#34 Start - Ausführen - regedit
oben links -bearbeiten - suchen - eingeben - scsipsrvc

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCSIPSRVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SCSIPSRVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCSIPSRVC


««
Killbox:

C:\WINDOWS\system32\scsipsrvc.sys
c:\WINDOWS\system32\scsiusr4.dll
C:\WINDOWS\¥OFMIN.EXE

PC neustarten

««
Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen

scan --> next none auf rename ändern

Dann lass Blacklight den Rechner neu starten.

_________________

poste noch mal das log von Combofix und das ergebnis von regsearch
__________
MfG Sabina

rund um die PC-Sicherheit

#35 habs versucht, und nun?

antivir zeigt mir eine andere datei für den gleichen virus an.

erneut logs posten?

#36 ja klar, alles neu posten + dem scanreport vom Antivirus
__________
MfG Sabina

rund um die PC-Sicherheit

#37 hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:50:48, on 09.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\soundman.exe
E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\D-Tools\daemon.exe
E:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Winamp\winamp.exe
E:\opera\opera.exe
C:\Dokumente und Einstellungen\Dr.SwifT\Desktop\hijackthis_199\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} - C:\WINDOWS\naelq1.dll (file missing)
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - E:\ipod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: License Management Service ESD - Unknown owner - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe

combofix:

Dr.SwifT - 06-12-09 15:52:40,75 Service Pack 1
ComboFix 06.11.27W - Running from: "E:\"

((((((((((((((((((((((((((((((( Files Created from 2006-11-09 to 2006-12-09 ))))))))))))))))))))))))))))))))))


2006-12-08 17:56 <DIR> d-------- C:\!KillBox
2006-12-07 18:22 668 --a------ C:\datFind.bat
2006-12-05 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Lavasoft
2006-12-02 19:26 5,892 C:\WINDOWS\¥OFMIN.EXE
2006-11-24 23:24 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-24 18:15 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-11-24 18:15 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-11-24 18:15 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-11-24 18:15 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-11-24 18:15 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-11-24 18:15 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-11-24 18:14 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2006-11-24 18:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\UserData
2006-11-19 11:16 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-11-19 11:16 <DIR> d-------- C:\Programme\Hamachi
2006-11-19 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Hamachi
2006-11-18 10:26 <DIR> d-------- C:\Programme\TVAnts
2006-11-14 21:39 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-11-14 21:36 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-04 18:29 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-04 18:17 11973 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-02 19:26 5892 --a------ C:\WINDOWS\¥OFMIN.EXE
2006-11-26 18:58 -------- d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Microsoft
2006-11-24 23:51 -------- d-------- C:\Programme\Gemeinsame Dateien\InterVideo
2006-11-24 22:34 -------- d-------- C:\Programme\PartyGaming.Net
2006-11-24 18:15 -------- d--h----- C:\Programme\WindowsUpdate
2006-11-21 22:22 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-14 22:44 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-12 14:13 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\teamspeak2
2006-11-07 16:34 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-05 11:14 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\BitTorrent
2006-11-05 11:13 -------- d-------- C:\Programme\BitTorrent
2006-10-20 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"E:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-09 15:57:11.90
C:\ComboFix.txt ... 06-12-09 15:57
C:\ComboFix2.txt ... 06-12-08 19:06
C:\ComboFix3.txt ... 06-12-07 18:18

regsearch:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 09.12.2006 15:58:04 for strings:
; 'scsipsrvc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...




antivir scan von c:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 9. Dezember 2006 16:00

Es wird nach 577904 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: Dr.SwifT
Computername: SWIFT

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 21.08.2006 10:06:53
AVSCAN.DLL : 7.0.0.45 41000 25.07.2006 11:09:33
LUKE.DLL : 7.0.0.47 118824 07.09.2006 10:32:31
LUKERES.DLL : 7.0.0.47 9256 07.09.2006 10:32:31
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 10:35:19
ANTIVIR1.VDF : 6.36.1.24 2212864 14.11.2006 14:20:55
ANTIVIR2.VDF : 6.36.1.131 294400 05.12.2006 16:59:53
ANTIVIR3.VDF : 6.36.1.151 47104 08.12.2006 16:59:51
AVEWIN32.DLL : 7.2.0.49 1946112 07.12.2006 16:59:53
AVPREF.DLL : 7.0.0.2 23080 24.07.2006 12:35:49
AVREP.DLL : 6.36.1.111 983080 01.12.2006 18:41:33
AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 25.10.2006 17:07:28
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 24.07.2006 12:35:42
RCIMAGE.DLL : 7.0.0.74 1642536 01.08.2006 11:22:53
RCTEXT.DLL : 7.0.1.4 77864 20.10.2006 13:07:04

Konfiguration für den aktuellen Suchlauf:
Job Name......................: ShlExt
Konfigurationsdatei...........: C:\DOKUME~1\DRB263~1.SWI\LOKALE~1\Temp\7d21488d.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 0
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Samstag, 9. Dezember 2006 16:00


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\Perflib_Perfdata_ef0.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF447C.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF4941.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF4A07.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF4B18.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF7C81.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\~DF8268.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Dr.SwifT\Lokale Einstellungen\Temp\hsperfdata_Dr.SwifT\3240
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 9. Dezember 2006 16:09
Benötigte Zeit: 08:11 min

Der Suchlauf wurde vollständig durchgeführt.

1307 Verzeichnisse wurden überprüft
71791 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
543 Archive wurden durchsucht
35 Warnungen
0 Hinweise

hatte rootkit drauf hab ihn aber mit einem tool beseitigt. hoffe das hat geklappt. deshalb kam die neue virenmeldung.

#38 1.
Start -- Ausfuehren --- reinschreiben: cmd + klicke enter
reinkopieren: (in das schwarze DOS-Fenster)

Zitat

dir C:\WINDOWS\¥OFMIN.EXE /a h /s > files.txt
notepad files.txt

poste den text , der erscheint

____________________________________________________________

2.
Den folgenden Text in den Editor kopieren
und als fix.bat auf dem Desktop speichern:
Gebe bei Dateityp 'Alle Dateien' an

Zitat

attrib -s - h - r C:\WINDOWS\¥OFMIN.EXE
del C:\WINDOWS\¥OFMIN.EXE

In den abgesicherten Modus starten.(F8 druecken, wenn der PC startet)
Die fix.bat Datei auf dem Desktop doppelklicken.

3.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {A9DB0BC1-9BA5-8840-A638-86FBA9755B3D} - C:\WINDOWS\naelq1.dll (file missing)

PC neustarten

4.
poste noch mal das log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#39 1. Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 902D-D03F


textdatei ist leer. er behauptet er kann die datei nicht finden


Dr.SwifT - 06-12-10 13:44:27,00 Service Pack 1
ComboFix 06.11.27W - Running from: "E:\"

((((((((((((((((((((((((((((((( Files Created from 2006-11-10 to 2006-12-10 ))))))))))))))))))))))))))))))))))


2006-12-08 17:56 <DIR> d-------- C:\!KillBox
2006-12-07 18:22 668 --a------ C:\datFind.bat
2006-12-05 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Lavasoft
2006-12-02 19:26 5,892 C:\WINDOWS\¥OFMIN.EXE
2006-11-24 23:24 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-24 18:15 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-11-24 18:15 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-11-24 18:15 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-11-24 18:15 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-11-24 18:15 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-11-24 18:15 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-11-24 18:14 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2006-11-24 18:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\UserData
2006-11-19 11:16 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-11-19 11:16 <DIR> d-------- C:\Programme\Hamachi
2006-11-19 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Hamachi
2006-11-18 10:26 <DIR> d-------- C:\Programme\TVAnts
2006-11-14 21:39 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-11-14 21:36 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-04 18:29 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-04 18:17 11973 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-02 19:26 5892 --a------ C:\WINDOWS\¥OFMIN.EXE
2006-11-26 18:58 -------- d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Microsoft
2006-11-24 23:51 -------- d-------- C:\Programme\Gemeinsame Dateien\InterVideo
2006-11-24 22:34 -------- d-------- C:\Programme\PartyGaming.Net
2006-11-24 18:15 -------- d--h----- C:\Programme\WindowsUpdate
2006-11-21 22:22 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-14 22:44 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-12 14:13 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\teamspeak2
2006-11-07 16:34 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-05 11:14 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\BitTorrent
2006-11-05 11:13 -------- d-------- C:\Programme\BitTorrent
2006-10-20 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"E:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-10 13:47:42.91
C:\ComboFix.txt ... 06-12-10 13:47
C:\ComboFix2.txt ... 06-12-09 15:57
C:\ComboFix3.txt ... 06-12-08 19:06

#40 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir ¥OFMIN* /s > files.txt
notepad files.txt

________

2.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\¥OFMIN*.*" > c:\find.txt & start notepad c:\find.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#41 datei nicht gefunden.

#42 ««
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

««
die Datei ist vorhanden, suche sie unter C:\Windows und loesche manuell:
schau auch nach Datum, Uhrzeit und groesse der exe

2006-12-02 19:26 5,892 C:\WINDOWS\¥OFMIN.EXE
__________
MfG Sabina

rund um die PC-Sicherheit

#43 ok habe manuell gelöscht

erneut logs posten?

#44 ja, um zu sehen, ob sich die exe wieder neu erstellt hat
__________
MfG Sabina

rund um die PC-Sicherheit

#45 Dr.SwifT - 06-12-10 19:57:35,17 Service Pack 1
ComboFix 06.11.27W - Running from: "E:\"

((((((((((((((((((((((((((((((( Files Created from 2006-11-10 to 2006-12-10 ))))))))))))))))))))))))))))))))))


2006-12-10 18:45 50 --a------ C:\Dokumente und Einstellungen\Dr.SwifT\listen.bat
2006-12-08 17:56 <DIR> d-------- C:\!KillBox
2006-12-07 18:22 668 --a------ C:\datFind.bat
2006-12-05 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Lavasoft
2006-11-24 23:24 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-24 18:15 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2006-11-24 18:15 41,240 --a------ C:\WINDOWS\system32\wups.dll
2006-11-24 18:15 194,840 --a------ C:\WINDOWS\system32\wuaueng1.dll
2006-11-24 18:15 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2006-11-24 18:15 174,872 --a------ C:\WINDOWS\system32\wuauclt1.exe
2006-11-24 18:15 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2006-11-24 18:14 <DIR> d-------- C:\WINDOWS\SoftwareDistribution
2006-11-24 18:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\UserData
2006-11-19 11:16 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-11-19 11:16 <DIR> d-------- C:\Programme\Hamachi
2006-11-19 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Hamachi
2006-11-18 10:26 <DIR> d-------- C:\Programme\TVAnts
2006-11-14 21:39 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-11-14 21:36 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-04 18:29 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-04 18:17 11973 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-11-26 18:58 -------- d---s---- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\Microsoft
2006-11-24 23:51 -------- d-------- C:\Programme\Gemeinsame Dateien\InterVideo
2006-11-24 22:34 -------- d-------- C:\Programme\PartyGaming.Net
2006-11-24 18:15 -------- d--h----- C:\Programme\WindowsUpdate
2006-11-21 22:22 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-14 22:44 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-12 14:13 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\teamspeak2
2006-11-07 16:34 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-05 11:14 -------- d-------- C:\Dokumente und Einstellungen\Dr.SwifT\Anwendungsdaten\BitTorrent
2006-11-05 11:13 -------- d-------- C:\Programme\BitTorrent
2006-10-20 14:04 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mirabilis ICQ"="E:\\PROGRA~1\\ICQ\\ICQNet.exe"
"SoundMan"="soundman.exe"
"EM_EXEC"="E:\\logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"E:\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"WinampAgent"="E:\\Winamp\\winampa.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"E:\\Norton\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="E:\\windvd\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"E:\\CloneCD\\CloneCDTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="IMJPMIG"
"hkey"="HKLM"
"command"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"E:\\quicktime\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ImScInst"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="E:\\Norton\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TINTSETP"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\saap]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="saap"
"hkey"="HKLM"
"command"="e:\\advanceddvdplayer\\saap\\saap.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-10 20:02:02.67
C:\ComboFix.txt ... 06-12-10 20:02
C:\ComboFix2.txt ... 06-12-10 13:47
C:\ComboFix3.txt ... 06-12-09 15:57