3d.exe - RunDLL32 - "Ein anderes Programm greift gerade auf diese ...zu!"

#1 Hi,

ich hab folgendes Problem: Wenn ich auf eine Datei in der Systemsteuerung zugreifen will, kommt immer die Fehlermeldung "Ein anderes Programm greift gerade auf diese Datei zu!". Ich hab schon Avast die Festplatte scannen lassen, es hat aber nichts gefunden. Das Problem besteht seit ich O&O-Defrag installiert habe, aber mittlerweile hab ich das schon deinstalliert, in denke also mal, dass es nicht daran liegen kann.

HiJackThislog:

Logfile of HijackThis v1.99.1
Scan saved at 12:44:14, on 05.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Stephan\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe


Combofix log:


((((((((((((((((((((((((((((((( Files Created from 2006-10-05 to 2006-11-05 ))))))))))))))))))))))))))))))))))


2006-10-30 20:33 10,240 --a------ C:\WINDOWS\3d.exe
2006-10-20 14:21 1,044,480 --------- C:\WINDOWS\system32\ROBOEX32.DLL
2006-10-19 12:03 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-19 12:03 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-19 12:02 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-10-19 12:02 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2006-10-18 21:02 223,128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-10-18 21:00 611,064 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2006-10-13 19:16 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-10-13 19:16 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-05 12:50 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-05 12:46 -------- d-------- C:\Programme\CleanUp!
2006-11-04 20:13 -------- d-------- C:\Programme\mIRC
2006-11-04 14:20 -------- d-------- C:\Programme\Trillian
2006-11-03 16:48 -------- d-------- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Azureus
2006-11-03 14:45 -------- d-------- C:\Programme\Google
2006-10-29 19:39 -------- d-------- C:\Programme\TV-Browser
2006-10-22 13:38 -------- d-------- C:\Programme\measure
2006-10-20 14:21 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-20 14:21 -------- d-------- C:\Programme\Virtual CD v8
2006-10-19 12:19 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-19 12:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-18 21:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-18 21:08 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-18 21:02 -------- d-------- C:\Programme\Alcohol Soft
2006-10-15 13:24 -------- d-------- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\uTorrent
2006-10-13 18:05 -------- d-------- C:\Programme\ATI Technologies
2006-10-13 18:01 -------- d-------- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\ATI
2006-10-12 23:22 -------- d-------- C:\Programme\LimeWire
2006-10-11 19:53 -------- d-------- C:\Programme\ICQLite
2006-10-11 19:53 -------- d-------- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\ICQLite
2006-09-28 17:49 -------- d-------- C:\Programme\Audacity
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 16:37 24560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-23 18:30 -------- d-------- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Apple Computer
2006-09-23 18:25 -------- d-------- C:\Programme\QuickTime
2006-09-22 18:40 -------- d---s---- C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Microsoft
2006-09-11 16:27 -------- d-------- C:\Programme\CDex_170b2
2006-09-08 15:24 -------- d-------- C:\Programme\BlueJ
2006-08-26 13:01 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-08-11 20:45 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-08-11 20:45 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-08-11 20:45 5611520 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-08-11 20:45 5251072 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-08-11 20:45 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-08-11 20:45 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-08-11 20:45 3039232 --a------ C:\WINDOWS\system32\nvgames.dll
2006-08-11 20:45 2953216 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-08-11 20:45 2928640 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-08-11 20:45 2904064 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-08-11 20:45 2859008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-08-11 20:45 266240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-08-11 20:45 258048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-08-11 20:45 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-08-11 20:45 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-08-11 20:45 1732608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-08-11 20:45 1236992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-08-11 20:44 323584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-08-11 20:44 323584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-08-11 20:44 274432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-08-11 20:44 274432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-08-11 20:44 266240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-08-11 20:44 262144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-08-11 20:44 241664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-08-11 20:44 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-08-11 20:43 86016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-08-11 20:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-08-11 20:43 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-08-11 20:43 7630848 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-08-11 20:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-08-11 20:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-08-11 20:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-08-11 20:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-08-11 20:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-08-11 20:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-08-11 20:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-08-11 20:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-08-11 20:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-08-11 20:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-08-11 20:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-08-11 20:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-08-11 20:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-08-11 20:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-08-11 20:43 311296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-08-11 20:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-08-11 20:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-08-11 20:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-08-11 20:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-08-11 20:43 278528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-08-11 20:43 274432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-08-11 20:43 270336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-08-11 20:43 266240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-08-11 20:43 262144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-08-11 20:43 262144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-08-11 20:43 245760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-08-11 20:43 245760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-08-11 20:43 241664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-08-11 20:43 241664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-08-11 20:43 221184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-08-11 20:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-08-11 20:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-08-11 20:43 196608 --a------ C:\WINDOWS\system32\nvapi.dll
2006-08-11 20:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-08-11 20:43 1662976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-08-11 20:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-08-11 20:43 1519616 --a------ C:\WINDOWS\system32\nwiz.exe
2006-08-11 20:43 1470464 --a------ C:\WINDOWS\system32\nview.dll
2006-08-11 20:43 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-08-11 20:43 122880 --a------ C:\WINDOWS\system32\nvrszht.dll
2006-08-11 20:43 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-08-11 20:43 1011712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-08-11 20:42 5636096 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-08-11 20:42 4496128 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-08-11 20:42 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-08-11 20:42 35840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-08-11 20:42 155715 --a------ C:\WINDOWS\system32\nvsvc32.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\InterVideo WinCinema Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\INTERV~1\\Common\\Bin\\WINCIN~1.EXE "
"item"="InterVideo WinCinema Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Stephan^Startmenü^Programme^Autostart^Registration .LNK]
"path"="C:\\Dokumente und Einstellungen\\Stephan\\Startmenü\\Programme\\Autostart\\Registration .LNK"
"backup"="C:\\WINDOWS\\pss\\Registration .LNKStartup"
"location"="Startup"
"command"="C:\\Games\\DARKME~1\\DARKME~1\\REGIST~1.EXE -d 802889 -l german -r 7 -g -c de -i 2896 -p C:\\Games\\Dark Messiah of Might and Magic\\Dark Messiah of Might and Magic\\bin.bin"
"item"="Registration "

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ashDisp"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneDVDElbyDelay]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\CloneDVD\\ElbyCheck.exe\" /L ElbyDelay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RunDll32 cmicnfg"
"hkey"="HKLM"
"command"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="isuspm"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="issch"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Logi_MwX"
"hkey"="HKLM"
"command"="Logi_MwX.Exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mmtask"
"hkey"="HKLM"
"command"="c:\\Program Files\\MusicMatch\\MusicMatch Jukebox\\mmtask.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mm_tray"
"hkey"="HKLM"
"command"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Realtime Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realmon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VC8Play"
"hkey"="HKLM"
"command"="C:\\Programme\\Virtual CD v8\\System\\VC8Play.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-05 12:51:56.40
C:\ComboFix.txt ... 06-11-05 12:51


datfind.bat-logs:

system32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8E4-BD28

Verzeichnis von C:\WINDOWS\system32

05.11.2006 13:28 306.681 RunDLL32
05.11.2006 13:11 24.153 OODBS.lor
31.10.2006 14:24 81.191 nvapps.xml
29.10.2006 07:29 59.206 perfc009.dat
29.10.2006 07:29 392.906 perfh009.dat
29.10.2006 07:29 71.190 perfc007.dat
29.10.2006 07:29 405.728 perfh007.dat
29.10.2006 07:29 940.776 PerfStringBackup.INI
28.10.2006 20:06 18.340 mlfcache.dat
21.10.2006 08:45 113.376 FNTCACHE.DAT
06.10.2006 21:47 664 d3d9caps.dat
06.10.2006 21:44 4.096 crash
02.10.2006 07:45 3.002 CONFIG.NT
25.09.2006 16:45 666.240 aswBoot.exe
25.09.2006 16:37 90.112 AVASTSS.scr
01.09.2006 15:14 65.536 QuickTimeVR.qtx
01.09.2006 15:14 49.152 QuickTime.qts
26.08.2006 13:01 98.304 CmdLineExt.dll
16.08.2006 16:55 208.896 NVUNINST.EXE
14.08.2006 15:29 8.615 jupdate-1.4.2_12-b03.log
12.08.2006 15:38 2.408 MSINET.DEP
12.08.2006 15:38 117.508 MSINET.OCX
11.08.2006 20:45 2.953.216 nvvitvsr.dll
11.08.2006 20:45 2.904.064 nvvitvs.dll
11.08.2006 20:45 888.832 nvmobls.dll
11.08.2006 20:45 2.859.008 nvmoblsr.dll
11.08.2006 20:45 458.752 nvmccssr.dll
11.08.2006 20:45 1.732.608 nvwssr.dll
11.08.2006 20:45 188.416 nvmccss.dll
11.08.2006 20:45 1.236.992 nvwss.dll
11.08.2006 20:45 2.928.640 nvgamesr.dll
11.08.2006 20:45 3.039.232 nvgames.dll
11.08.2006 20:45 5.251.072 nvdispsr.dll
11.08.2006 20:45 5.611.520 nvdisps.dll
11.08.2006 20:45 229.376 nvmccs.dll
11.08.2006 20:45 45.056 nvmccsrs.dll
11.08.2006 20:45 581.632 nvhwvid.dll
11.08.2006 20:45 266.240 nvrsesm.dll
11.08.2006 20:45 249.856 nvrshu.dll
11.08.2006 20:45 249.856 nvrssl.dll
11.08.2006 20:45 249.856 nvrssk.dll
11.08.2006 20:45 258.048 nvrsko.dll
11.08.2006 20:44 249.856 nvrsno.dll
11.08.2006 20:44 323.584 nvrshe.dll
11.08.2006 20:44 262.144 nvrsja.dll
11.08.2006 20:44 249.856 nvrspl.dll
11.08.2006 20:44 249.856 nvrstr.dll
11.08.2006 20:44 266.240 nvrspt.dll
11.08.2006 20:44 241.664 nvrscs.dll
11.08.2006 20:44 323.584 nvrsar.dll
11.08.2006 20:44 274.432 nvrsel.dll
11.08.2006 20:44 147.456 nvcolor.exe
11.08.2006 20:44 274.432 nvrses.dll
11.08.2006 20:43 245.760 nvrssv.dll
11.08.2006 20:43 241.664 nvrsfi.dll
11.08.2006 20:43 221.184 nvrszhc.dll
11.08.2006 20:43 245.760 nvrsda.dll
11.08.2006 20:43 274.432 nvrsit.dll
11.08.2006 20:43 262.144 nvrsptb.dll
11.08.2006 20:43 270.336 nvrsde.dll
11.08.2006 20:43 241.664 nvrseng.dll
11.08.2006 20:43 122.880 nvrszht.dll
11.08.2006 20:43 266.240 nvrsnl.dll
11.08.2006 20:43 278.528 nvrsfr.dll
11.08.2006 20:43 262.144 nvrsru.dll
11.08.2006 20:43 196.608 nvapi.dll
11.08.2006 20:43 81.920 nvwddi.dll
11.08.2006 20:43 86.016 nvmctray.dll
11.08.2006 20:43 7.630.848 nvcpl.dll
11.08.2006 20:43 1.011.712 nvcpluir.dll
11.08.2006 20:43 794.624 nvcplui.exe
11.08.2006 20:43 1.470.464 nview.dll
11.08.2006 20:43 311.296 nvexpbar.dll
11.08.2006 20:43 1.519.616 nwiz.exe
11.08.2006 20:43 286.720 nvnt4cpl.dll
11.08.2006 20:43 466.944 nvshell.dll
11.08.2006 20:43 442.368 nvappbar.exe
11.08.2006 20:43 1.339.392 nvdspsch.exe
11.08.2006 20:43 73.728 nvtuicpl.cpl
11.08.2006 20:43 167.936 nvwrszht.dll
11.08.2006 20:43 69.632 nvcpl.cpl
11.08.2006 20:43 425.984 keystone.exe
11.08.2006 20:43 163.840 nvwrszhc.dll
11.08.2006 20:43 294.912 nvwrsda.dll
11.08.2006 20:43 1.662.976 nvwdmcpl.dll
11.08.2006 20:43 1.019.904 nvwimg.dll
11.08.2006 20:43 282.624 nvwrsar.dll
11.08.2006 20:43 286.720 nvwrscs.dll
11.08.2006 20:43 303.104 nvwrsfi.dll
11.08.2006 20:43 311.296 nvwrsde.dll
11.08.2006 20:43 335.872 nvwrsel.dll
11.08.2006 20:43 286.720 nvwrseng.dll
11.08.2006 20:43 335.872 nvwrses.dll
11.08.2006 20:43 327.680 nvwrsesm.dll
11.08.2006 20:43 303.104 nvwrstr.dll
11.08.2006 20:43 327.680 nvwrsfr.dll
11.08.2006 20:43 278.528 nvwrshe.dll
11.08.2006 20:43 315.392 nvwrshu.dll
11.08.2006 20:43 323.584 nvwrsit.dll
11.08.2006 20:43 212.992 nvwrsja.dll
11.08.2006 20:43 196.608 nvwrsko.dll
11.08.2006 20:43 319.488 nvwrsnl.dll
11.08.2006 20:43 299.008 nvwrsno.dll
11.08.2006 20:43 294.912 nvwrspl.dll
11.08.2006 20:43 323.584 nvwrspt.dll
11.08.2006 20:43 319.488 nvwrsptb.dll
11.08.2006 20:43 315.392 nvwrsru.dll
11.08.2006 20:43 294.912 nvwrssv.dll
11.08.2006 20:43 299.008 nvwrssk.dll
11.08.2006 20:43 303.104 nvwrssl.dll
11.08.2006 20:42 5.636.096 nvoglnt.dll
11.08.2006 20:42 4.496.128 nv4_disp.dll
11.08.2006 20:42 155.715 nvsvc32.exe
11.08.2006 20:42 16.960 nvdisp.nvu
11.08.2006 20:42 208.896 nvudisp.exe
11.08.2006 20:42 35.840 nvcodins.dll
11.08.2006 20:42 35.840 nvcod.dll
10.08.2006 18:52 8.775 jupdate-1.5.0_08-b03.log
07.08.2006 18:51 34.064 lhacm.acm
04.08.2006 10:30 609.584 COMCTL32.OCX
04.08.2006 10:30 108.336 MSWINSCK.OCX
04.08.2006 10:30 2.496 MSCOMCTL.DEP
04.08.2006 10:30 429.568 fmod64.dll
04.08.2006 10:30 161.280 fmod.dll
01.08.2006 14:36 7.006 jupdate-1.5.0_06-b05.log
31.07.2006 20:47 2.206 wpa.dbl
31.07.2006 20:47 261 spupdwxp.log
31.07.2006 20:23 0 h323log.txt
31.07.2006 19:33 25.065 wmpscheme.xml
31.07.2006 19:30 261 $winnt$.inf
31.07.2006 19:28 16.832 amcompat.tlb
31.07.2006 19:28 23.392 nscompat.tlb
31.07.2006 19:27 488 WindowsLogon.manifest
31.07.2006 19:27 488 logonui.exe.manifest
31.07.2006 19:27 749 sapi.cpl.manifest
31.07.2006 19:27 749 wuaucpl.cpl.manifest
31.07.2006 19:27 749 cdplayer.exe.manifest
31.07.2006 19:27 749 nwc.cpl.manifest
31.07.2006 19:27 749 ncpa.cpl.manifest
31.07.2006 19:25 21.740 emptyregdb.dat
28.07.2006 09:30 236.824 xactengine2_3.dll
28.07.2006 09:30 62.744 xinput1_2.dll
26.07.2006 02:03 127.078 javaws.exe
26.07.2006 02:03 49.265 jpicpl32.cpl
26.07.2006 00:26 53.346 javaw.exe
26.07.2006 00:25 49.248 java.exe

systemtemp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8E4-BD28

Verzeichnis von C:\DOKUME~1\Stephan\LOKALE~1\Temp

05.11.2006 13:07 27.282 3d62_appcompat.txt
1 Datei(en) 27.282 Bytes
0 Verzeichnis(se), 35.641.180.160 Bytes frei

system:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8E4-BD28

Verzeichnis von C:\WINDOWS

05.11.2006 13:17 412.631 WindowsUpdate.log
05.11.2006 13:11 0 0.log
05.11.2006 13:11 2.048 bootstat.dat
05.11.2006 13:10 99.088 ntbtlog.txt
05.11.2006 13:08 32.630 SchedLgU.Txt
05.11.2006 13:08 216 wiadebug.log
05.11.2006 13:07 155 winamp.ini
05.11.2006 13:00 50 wiaservc.log
05.11.2006 12:31 7.833 hhdrvi.log
05.11.2006 12:31 476.294 setupapi.log
05.11.2006 12:13 227 system.ini
05.11.2006 12:13 591 win.ini
04.11.2006 18:52 49 NeroDigital.ini
02.11.2006 22:12 10.240 3d.exe
02.11.2006 18:20 449.996 DirectX.log
29.10.2006 14:35 32 Wininit.ini
27.10.2006 20:54 28.346 wmsetup.log
25.10.2006 17:08 2.706 measure.ini
10.10.2006 17:24 170.699 setupact.log
11.09.2006 16:03 430 cdPlayer.ini
02.09.2006 15:58 4.096 d3dx.dat
13.08.2006 10:38 316.640 WMSysPr9.prx
03.08.2006 15:27 720.896 iun6002.exe
01.08.2006 17:20 3.413 mozver.dat
01.08.2006 14:47 0 nsreg.dat
01.08.2006 14:27 76.665 CFSETUP.TXT
01.08.2006 12:59 7.702 ModemLog_cFos DSL, Internet, PPPoE.txt
01.08.2006 11:40 136.185 iis6.log
01.08.2006 11:40 29.360 tsoc.log
01.08.2006 11:40 3.177 ocmsn.log
01.08.2006 11:40 4.635 imsins.log
01.08.2006 11:40 1.372 tabletoc.log
01.08.2006 11:40 16.107 ntdtcsetup.log
01.08.2006 11:40 26.114 comsetup.log
01.08.2006 11:40 44.501 ocgen.log
01.08.2006 11:40 4.902 medctroc.Log
01.08.2006 11:40 2.884 msgsocm.log
01.08.2006 11:40 39.804 FaxSetup.log
01.08.2006 11:40 5.718 netfxocm.log
01.08.2006 11:40 30.948 msmqinst.log
01.08.2006 09:01 312 nsw.log
31.07.2006 20:48 29.023 spupdsvc.log
31.07.2006 20:48 360 DtcInstall.log
31.07.2006 20:48 1.165 OEWABLog.txt
31.07.2006 20:48 4.696 imsins.BAK
31.07.2006 20:47 691.932 setuplog.txt
31.07.2006 20:45 427.331 svcpack.log
31.07.2006 20:41 200 cmsetacl.log
31.07.2006 20:41 1.330 sessmgr.setup.log
31.07.2006 20:20 0 Sti_Trace.log
31.07.2006 20:18 1.348 regopt.log
31.07.2006 19:46 400 ODBC.INI
31.07.2006 19:37 92 CMISETUP.INI
31.07.2006 19:37 26 CMCDPLAY.INI
31.07.2006 19:36 2.133 Ascd_tmp.ini
31.07.2006 19:31 8.192 REGLOCS.OLD
31.07.2006 19:30 622 setuperr.log
31.07.2006 19:28 0 control.ini
31.07.2006 19:28 299.552 WMSysPrx.prx
31.07.2006 19:28 4.161 ODBCINST.INI
31.07.2006 19:28 240 Windows Update.log
31.07.2006 19:27 749 WindowsShell.Manifest
31.07.2006 19:25 37 vbaddin.ini
31.07.2006 19:25 36 vb.ini

tmp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8E4-BD28

Verzeichnis von C:\WINDOWS\Temp

05.11.2006 13:11 16.384 Perflib_Perfdata_718.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 35.641.176.064 Bytes frei

down:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8E4-BD28

Verzeichnis von C:\WINDOWS\Downloaded Program Files

31.07.2006 19:27 65 desktop.ini
22.06.2006 10:41 5.032 swflash.inf
07.06.2006 10:09 1.249 erma.inf
16.06.2004 05:02 323.584 isusweb.dll
19.12.2003 16:02 126.976 popcaploader.dll
19.12.2003 14:43 241 popcaploader.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
8 Datei(en) 678.331 Bytes
0 Verzeichnis(se), 35.641.176.064 Bytes frei

sys:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8E4-BD28

Verzeichnis von C:\

05.11.2006 13:30 0 sys.txt
05.11.2006 13:30 648 down.txt
05.11.2006 13:30 289 tmp.txt
05.11.2006 13:29 5.563 system.txt
05.11.2006 13:29 301 systemtemp.txt
05.11.2006 13:28 101.701 system32.txt
05.11.2006 13:11 4.194.304.000 pagefile.sys
05.11.2006 12:51 21.464 ComboFix.txt
05.11.2006 12:13 211 boot.ini
31.07.2006 20:35 47.564 NTDETECT.COM
31.07.2006 20:35 251.184 ntldr
31.07.2006 19:28 0 MSDOS.SYS
31.07.2006 19:28 0 IO.SYS
31.07.2006 19:28 0 CONFIG.SYS
31.07.2006 19:28 0 AUTOEXEC.BAT
31.10.2005 16:56 700.416 StubInstaller.exe
18.08.2001 11:00 4.952 bootfont.bin
17 Datei(en) 4.195.438.293 Bytes
0 Verzeichnis(se), 35.641.176.064 Bytes frei

Ich hoffe mal, dass ich kein wichtigen Log vergessen hab und danke schon mal im vorraus für die Hilfe

#2 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\RunDLL32
C:\WINDOWS\3d.exe

poste die reporte
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Selstamerweise hab ich RunDLL32 2mal in C:\Window\system32\, das eine ist eine Anwendung und das andere eine Datei. Ich hab einfach mal beide überprüfen lassen:

RunDLL32 (Anwendung):
Complete scanning result of "rundll32.exe", received in VirusTotal at 11.05.2006, 15:34:22 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.03.2006 no virus found
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 no virus found
BitDefender 7.2 11.05.2006 no virus found
CAT-QuickHeal 8.00 11.04.2006 no virus found
ClamAV devel-20060426 11.05.2006 no virus found
DrWeb 4.33 11.05.2006 no virus found
eTrust-InoculateIT 23.73.45 11.03.2006 no virus found
eTrust-Vet 30.3.3176 11.03.2006 no virus found
Ewido 4.0 11.05.2006 no virus found
Fortinet 2.82.0.0 11.05.2006 no virus found
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.03.2006 no virus found
Kaspersky 4.0.2.24 11.05.2006 no virus found
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.04.2006 no virus found
NOD32v2 1.1853 11.03.2006 no virus found
Norman 5.80.02 11.03.2006 no virus found
Panda 9.0.0.4 11.04.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.04.2006 no virus found
VirusBuster 4.3.15:9 11.05.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

RunDLL32 (Datei):
Complete scanning result of "RunDLL32", received in VirusTotal at 11.05.2006, 15:44:05 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.03.2006 no virus found
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 no virus found
BitDefender 7.2 11.05.2006 no virus found
CAT-QuickHeal 8.00 11.04.2006 no virus found
ClamAV devel-20060426 11.05.2006 no virus found
DrWeb 4.33 11.05.2006 no virus found
eTrust-InoculateIT 23.73.45 11.03.2006 no virus found
eTrust-Vet 30.3.3176 11.03.2006 no virus found
Ewido 4.0 11.05.2006 no virus found
Fortinet 2.82.0.0 11.05.2006 no virus found
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.03.2006 no virus found
Kaspersky 4.0.2.24 11.05.2006 no virus found
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.04.2006 no virus found
NOD32v2 1.1853 11.03.2006 no virus found
Norman 5.80.02 11.03.2006 no virus found
Panda 9.0.0.4 11.04.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.04.2006 no virus found
VirusBuster 4.3.15:9 11.05.2006 no virus found

Aditional Information
File size: 325349 bytes
MD5: 3a5d6649637ac527fac51223e024d46c
SHA1: e09b9bad96d4dd4d5349d3be51b5038bef70166a

3d.exe:
Complete scanning result of "3d.exe", received in VirusTotal at 11.05.2006, 15:43:56 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.03.2006 TR/Small.JS.52
Authentium 4.93.8 11.05.2006 W32/Backdoor.OXF
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 Generic2.AM
BitDefender 7.2 11.05.2006 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 8.00 11.04.2006 no virus found
ClamAV devel-20060426 11.05.2006 Trojan.Small-290
DrWeb 4.33 11.05.2006 Trojan.KeyLogger.603
eTrust-InoculateIT 23.73.45 11.03.2006 no virus found
eTrust-Vet 30.3.3176 11.03.2006 no virus found
Ewido 4.0 11.05.2006 Trojan.Small.js
Fortinet 2.82.0.0 11.05.2006 W32/Small.JS!tr!01
F-Prot 3.16f 11.04.2006 security risk named W32/Backdoor.OXF
F-Prot4 4.2.1.29 11.04.2006 W32/Backdoor.OXF
Ikarus 0.2.65.0 11.03.2006 no virus found
Kaspersky 4.0.2.24 11.05.2006 Trojan.Win32.Small.js
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.04.2006 no virus found
NOD32v2 1.1853 11.03.2006 Win32/Small.JS
Norman 5.80.02 11.03.2006 W32/Smalltroj.JRE
Panda 9.0.0.4 11.04.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 Trojan.Win32.Small.AA40
VBA32 3.11.1 11.04.2006 no virus found
VirusBuster 4.3.15:9 11.05.2006 Trojan.Small.EEO

Aditional Information
File size: 10240 bytes
MD5: eb469ae580108dba16599c4083050b56
SHA1: 5c811fd36985dd309e6f44aa312d1bcb9ac3bf57

#4 ««
loesche: C:\WINDOWS\3d.exe

««
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 mirc.exe C:\Programme\mIRC Program.mIRC.60
A0019948.exe C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP81 Trojan.KeyLogger.603 Gelöscht.
A0019981.exe C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP81 Trojan.KeyLogger.603 Gelöscht.
A0020467.exe C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP84 Trojan.KeyLogger.603 Gelöscht.
A0020470.exe C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP84 Trojan.MulDrop.4160 Gelöscht.
A0020910.exe C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP86 Trojan.KeyLogger.603 Gelöscht.
A0021759.exe C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP89 Trojan.MulDrop.4160 Gelöscht.
A0022710.exe C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP89 Trojan.KeyLogger.603 Gelöscht.
popcaploader.dll C:\WINDOWS\Downloaded Program Files Program.PopcapLoader

#6 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Auf die Eigenschaften des Arbeitsplatzes kann ich auch nicht zugreifen, da kommt dann die selbe Meldung wie bei der Systemsteuerung "Ein anderes Programm greift gerade auf diese Datei zu". Ich hoffe mal das macht nicht so viel aus. Hier der Scanreport:

Montag, 6. November 2006 19:00:50
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 6/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 225088
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
E:\
F:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 79413
Viren gefunden 3
Infizierte Objekte gefunden 17 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:08:06

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\googlesafebrowsing.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fhn5grjw.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3BAB.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3BB7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3BC6.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3BD4.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3BE3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3BEF.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3BFE.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF3C0A.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF8CA1.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF8CAD.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temp\~DF90E5.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Stephan\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\integ\avast.int Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP25\
A0005610.msi/_104174FB6A1CB19FF2EE2FAF4605491E/_D72E596848764E2BAB3661F8B1EB4380 Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\
RP25\A0005610.msi/_104174FB6A1CB19FF2EE2FAF4605491E Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP25\A0005610.msi Embedded: infiziert - 2 übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP26\A0005637.rbf Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}
\RP27\A0005648.msi/_104174FB6A1CB19FF2EE2FAF4605491E/_D72E596848764E2BAB3661F8B1EB4380 Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}
\RP27\A0005648.msi/_104174FB6A1CB19FF2EE2FAF4605491E Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP27\A0005648.msi Embedded: infiziert - 2 übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP28\A0005675.rbf Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP28\A0005690.exe/data.rar/
3DSexVillaInstall-2.017.001-cracked.msi/_104174FB6A1CB19FF2EE2FAF4605491E
/_D72E596848764E2BAB3661F8B1EB4380 Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP28\A0005690.exe/data.rar/
3DSexVillaInstall-2.017.001-cracked.msi/_104174FB6A1CB19FF2EE2FAF4605491E Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP28\A0005690.exe
/data.rar/3DSexVillaInstall-2.017.001-cracked.msi Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP28\A0005690.exe/data.rar Infizierte Objekte: Trojan-PSW.Win32.QQPass.ly übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP28\A0005690.exe RarSFX: infiziert - 4 übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP30\A0005777.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.aqh übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP31\A0005916.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.aqh übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP65\A0015956.exe Infizierte Objekte: Backdoor.Win32.Bifrose.abc übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP65\A0015960.exe Infizierte Objekte: Backdoor.Win32.Bifrose.abc übersprungen
C:\System Volume Information\_restore{8C6911CE-2255-43BA-AADD-CE5C03BCE217}\RP89\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\vaxscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\rundll32.exe Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_744.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.

#8 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

2.
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport

3.
ansonsten denke ich, dass wir den - Backdoor.Win32.Bifrose.abc- erfolgreich rausgeloescht haben.
falls es noch Probleme gibt - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Scanning Report
Tuesday, November 07, 2006 13:06:00 - 13:38:57

Scanning type: Scan system for viruses, rootkits, spyware
Target: C:\
Result: 6 malware found
Tracking Cookie (spyware)

* System (Disinfected)
* System
* System
* System
* System
* System

Statistics
Scanned:

* Files: 20895
* System: 3792
* Not scanned: 6

Actions:

* Disinfected: 1
* Renamed: 0
* Deleted: 0
* None: 5
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\VAXSCSI.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\DOKUMENTE UND EINSTELLUNGEN\STEPHAN\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_STEPHAN\3500

Options
Scanning engines:

* F-Secure Libra: 2.4.2, 2006-11-04
* F-Secure AVP: 7.0.171, 2006-11-07
* F-Secure Orion: 1.2.37, 2006-11-07
* F-Secure Blacklight: 1.0.31, 0000-00-00
* F-Secure Draco: 1.0.35, 0260-02-44
* F-Secure Pegasus: 1.19.0, 2006-08-29

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX
* Use Advanced heuristics

Anscheinend war es nicht der Virus, der die Fehlermeldung auslöst, da die Meldung noch immer kommt, wenn ich versuche auf die Systemsteuerung oder auf den Arbeitsplatz zuzugreifen.

#10 da scheint etwas in der registry vom Virus umgestellt zu sein

poste dieses log
http://virus-protect.org/silentrunner.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 "Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"

HKLM\Software\Microsoft\Active Setup\Installed Components\
{016926EC-A7C2-EB46-0200-040003000402}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\RunDLL32.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinUHA\(Default) = "{095177B8-8097-4D32-9081-A8949C47020E}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\WinUHA\shellwinuha.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

#12 noch mal:
Die Option "Supplementary Searches" wählen
__________
MfG Sabina

rund um die PC-Sicherheit

#13 "Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [null data]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"

HKLM\Software\Microsoft\Active Setup\Installed Components\
{016926EC-A7C2-EB46-0200-040003000402}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\RunDLL32.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinUHA\(Default) = "{095177B8-8097-4D32-9081-A8949C47020E}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\WinUHA\shellwinuha.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}"
-> {HKLM...CLSID} = "InoShell"
\InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" [file not found]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinUHA\(Default) = "{095177B8-8097-4D32-9081-A8949C47020E}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\WinUHA\shellwinuha.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Stephan\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Germany GmbH"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0008-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_08"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_08"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
Ereignisprotokoll-Überwachung, LogWatch, "C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe" ["Computer Associates"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 53 seconds.
---------- (total run time: 113 seconds)


Sorry, konnte mir beim ersten mal die Meldung "Es wird so eine Box erscheinen, wenn Silentrunner fertig ist" nicht ganz durchlesen.

#14

Zitat

RunDLL32.exe is loading from an odd location in your registry (this could cause your Control Panel problems) but it is not identified as a Microsoft file and it should be. This could mean that it has been overwritten by malware.
http://discussions.virtualdr.com/showthread.php?t=209969

die C:\WINDOWS\system32\RunDLL32.exe - wird nicht als von MS erkannt, es scheint also ein Virus zu sein, entweder hat er die regulaere ersetzt, oder ueberschrieben - ...ich weiss nicht, was geschehen ist, aber die Probleme duerften von dort herruehren.

Verzeichnis von C:\WINDOWS\system32
05.11.2006 13:28 306.681 RunDLL32

Zitat

HKLM\Software\Microsoft\Active Setup\Installed Components\
{016926EC-A7C2-EB46-0200-040003000402}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\RunDLL32.exe" [null data]

________________________________________________________________

1.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein und poste alles, was im Texteditor erscheint

Zitat

dir /s /a "c:\rundll32*.*" > c:\find.txt & start notepad c:\find.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#15 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E8E4-BD28

Verzeichnis von c:\WINDOWS\$NtServicePackUninstall$

18.08.2001 11:00 32.256 rundll32.exe
1 Datei(en) 32.256 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

03.11.2006 16:13 4.744 RUNDLL32.EXE-173DF89B.pf
05.11.2006 12:01 2.934 RUNDLL32.EXE-230BB05F.pf
25.10.2006 15:18 10.974 RUNDLL32.EXE-451FC2C0.pf
05.11.2006 12:01 4.960 RUNDLL32.EXE-46FC1899.pf
4 Datei(en) 23.612 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

03.08.2004 23:58 33.792 rundll32.exe
1 Datei(en) 33.792 Bytes

Verzeichnis von c:\WINDOWS\system32

08.11.2006 12:48 460.405 RunDLL32
18.08.2001 11:00 10.240 rundll32.exe
2 Datei(en) 470.645 Bytes

Anzahl der angezeigten Dateien:
8 Datei(en) 560.305 Bytes
0 Verzeichnis(se), 35.718.451.200 Bytes frei