Home » Viren, Trojaner & Malware Forum » **exmodul32.exe - Trojaner kehrt ständig wieder » Themenansicht

**exmodul32.exe - Trojaner kehrt ständig wieder
#0
17.11.2006, 11:30
poolparty
...neu hier

Beiträge: 3
#1 Habe mir gerade schon in diesem Thread ein wenig durchgelesen:

http://board.protecus.de/t23845.htm

Hier noch das Logfile von HiJackThis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 11:32:38, on 17.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
C:\Programme\SealedMedia\sealmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\3M\PSNotes\psn.exe
C:\PROGRA~1\3M\PSNotes\PSNGive.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Eiermann\Desktop\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws2/eBayISAPI.dll?SignIn&favoritenav=&sid=&ruproduct=&pp
=&co_partnerId=2&ru=&i
1=&ruparams=&pageType=&pa2=&bshowgif=&pa1=&pUserId=&errmsg=&UsingSSL=&runame=&siteid=77
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [sealmon] C:\Programme\SealedMedia\sealmon.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Post-it® Software Notes.lnk = C:\Programme\3M\PSNotes\psn.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Und die Logs von Combofix:

Zitat

Eiermann - 06-11-17 11:50:28.10 Service Pack 2
ComboFix 06.11.9 - Running from: "C:\Dokumente und Einstellungen\Eiermann\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-17 to 2006-11-17 ))))))))))))))))))))))))))))))))))


2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-17 11:47 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-17 11:40 -------- d-------- C:\Programme\CleanUp!
2006-11-17 11:21 -------- d-------- C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten\Skype
2006-11-17 09:10 24812 --a------ C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten\wklnhst.dat
2006-11-17 08:53 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-11-17 08:03 -------- d-------- C:\Programme\Everest Poker
2006-11-16 15:32 -------- d---s---- C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten\Microsoft
2006-11-15 15:35 -------- d-------- C:\Programme\MSXML 4.0
2006-11-15 15:34 -------- d-------- C:\Programme\Internet Explorer
2006-11-14 09:06 -------- d-------- C:\Programme\MSN Messenger
2006-11-14 01:09 -------- d-------- C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten\Ankh - Heart of Osiris
2006-11-06 23:34 -------- d-------- C:\Programme\VirtualDub 1.6.1
2006-11-05 01:44 -------- d-------- C:\Programme\PeerGuardian2
2006-11-05 01:25 -------- d-------- C:\Programme\Soulseek
2006-11-03 15:25 -------- d-------- C:\Programme\Google
2006-11-03 13:48 -------- d-------- C:\Programme\Picasa2
2006-11-01 10:59 69632 --a------ C:\WINDOWS\system32\TIFmtA.dll
2006-11-01 10:59 61440 --a------ C:\WINDOWS\system32\TrackID.DLL
2006-11-01 10:59 53248 --a------ C:\WINDOWS\system32\RIC625PI.DLL
2006-11-01 10:59 49664 --a------ C:\WINDOWS\system32\RIC625X.EXE
2006-11-01 10:59 49152 --a------ C:\WINDOWS\system32\TIBase64.dll
2006-10-31 11:53 -------- d-------- C:\Programme\DOSBox-0.65
2006-10-27 11:26 -------- d-------- C:\Programme\WinRAR
2006-10-15 17:37 -------- d-------- C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten\U3
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-12 14:15 -------- d-------- C:\Programme\TexasCalculatem
2006-10-12 11:58 -------- d-------- C:\Programme\Miranda IM
2006-10-10 08:52 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-10 08:51 -------- d-------- C:\Programme\Electronic Arts
2006-10-09 15:21 -------- d-------- C:\Programme\Riva
2006-10-09 15:21 -------- d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2006-10-09 15:21 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-08 20:27 -------- d-------- C:\Programme\Pons
2006-10-05 13:09 -------- d-------- C:\Programme\Kodak
2006-09-27 22:55 -------- d-------- C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten\RhinoSoft.com
2006-09-27 22:53 -------- d-------- C:\Programme\RhinoSoft.com
2006-09-26 21:43 -------- d-------- C:\Programme\PacificPoker
2006-09-26 13:02 -------- d-------- C:\Programme\Total Uninstall 3
2006-09-21 21:47 -------- d-------- C:\Programme\Bonjour
2006-09-15 14:33 60928 --a------ C:\WINDOWS\system32\RIC521X.EXE
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-10 00:09 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-17 13:28 729600 --a------ C:\WINDOWS\system32\lsasrv.dll
2006-08-17 13:28 132096 --a------ C:\WINDOWS\system32\wkssvc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"FinePrint Dispatcher v5"="\"C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe\" /runonce"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"pdfSaver3"="\"C:\\Programme\\Tracker Software\\PDF-XChange 3\\pdfSaver\\pdfSaver3.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchAp"="C:\\Programme\\Launch Manager\\LaunchAp.exe"
"HotkeyApp"="C:\\Programme\\Launch Manager\\HotkeyApp.exe"
"CtrlVol"="C:\\Programme\\Launch Manager\\CtrlVol.exe"
"LMgrOSD"="C:\\Programme\\Launch Manager\\OSD.exe"
"Wbutton"="\"C:\\Programme\\Launch Manager\\Wbutton.exe\""
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"SoundMan"="SOUNDMAN.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe -CheckReg"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"IntelZeroConfig"="\"C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"pdfSaver3"=""
"MMReminderService"="C:\\Programme\\Mindjet\\MindManager 6\\MMReminderService.exe"
"sealmon"="C:\\Programme\\SealedMedia\\sealmon.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
".nvsvc"="C:\\WINDOWS\\system\\smss.exe /w"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-17 11:51:11.19
C:\ComboFix.txt ... 06-11-17 11:51
C:\ComboFix2.txt ... 06-11-17 11:49
Ergebnisse von datfind.bat

system32.txt:

Zitat

17.11.2006 08:55 395.566 perfh009.dat
17.11.2006 08:55 59.368 perfc009.dat
17.11.2006 08:55 410.008 perfh007.dat
17.11.2006 08:55 71.782 perfc007.dat
17.11.2006 08:55 946.332 PerfStringBackup.INI
17.11.2006 08:51 1.409 Postin__.FOT
17.11.2006 08:51 2.206 wpa.dbl
08.11.2006 02:38 10.342.824 MRT.exe
04.11.2006 14:14 1.245.696 msxml4.dll
03.11.2006 13:21 60.528 mlfcache.dat
01.11.2006 10:59 49.664 RIC625X.EXE
01.11.2006 10:59 49.152 TIBase64.dll
01.11.2006 10:59 61.440 TrackID.DLL
01.11.2006 10:59 53.248 RIC625PI.DLL
01.11.2006 10:59 69.632 TIFmtA.dll
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
09.10.2006 06:43 276.560 FNTCACHE.DAT
15.09.2006 14:33 60.928 RIC521X.EXE
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 1.022.976 browseui.dll
14.09.2006 09:39 1.056.256 danim.dll
14.09.2006 09:39 152.064 cdfview.dll
13.09.2006 06:02 1.084.416 msxml3.dll
10.09.2006 00:09 98.304 CmdLineExt.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
28.08.2006 14:04 1.205 lvcoinst.log
27.08.2006 17:50 487 Installer.log
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
17.08.2006 13:28 332.288 netapi32.dll
17.08.2006 13:28 132.096 wkssvc.dll
17.08.2006 13:28 729.600 lsasrv.dll
16.08.2006 12:58 100.352 6to4svc.dll
systemtemp.txt:

Zitat

17.11.2006 11:05 28.843 WcesView.log
17.11.2006 10:32 37.376 52exmodul32e.o.exe
17.11.2006 10:32 50 ssd32.m.exe.conf
17.11.2006 10:32 48 hdd.k.exe.conf
17.11.2006 10:32 49 injs.p.exe.conf
17.11.2006 10:21 53 modul32e.o.exe.conf
17.11.2006 09:41 59.964 Adobelm_Cleanup.0001
17.11.2006 09:10 25.088 Project_discussion-1.doc
17.11.2006 09:03 36.864 Project.doc
17.11.2006 09:01 16.384 ~DF87DF.tmp
17.11.2006 09:01 182.680 jusched.log
17.11.2006 08:58 0 flaE.tmp
17.11.2006 08:53 512 ~DF545A.tmp
17.11.2006 08:51 37.344 LVCOMSX.LOG
17.11.2006 08:51 0 ~psn.tmp
17.11.2006 08:51 117.434 WCESLog.log
17.11.2006 08:51 375 WCESCOMM.LOG
17.11.2006 08:01 43 autorun.inf
17.11.2006 08:01 38.912 setup.exe
17.11.2006 08:01 25.088 13exhdd.k.exe
17.11.2006 08:01 25.088 10exhdd.k.exe
17.11.2006 08:01 25.088 84exhdd.k.exe
17.11.2006 08:01 35.328 61exinjs.p.exe
17.11.2006 08:01 35.328 54exinjs.p.exe
17.11.2006 08:01 35.328 13exinjs.p.exe
17.11.2006 08:01 35.328 33exinjs.p.exe
17.11.2006 08:01 23.552 45exssd32.m.exe
17.11.2006 08:01 23.552 33exssd32.m.exe
17.11.2006 08:01 23.552 93exssd32.m.exe
17.11.2006 08:01 23.552 11exssd32.m.exe
17.11.2006 01:21 16.384 ~DF85D3.tmp
17.11.2006 01:02 10.538 control.xml
16.11.2006 22:22 0 d2nE3.tmp
16.11.2006 18:15 15.018 java_install_reg.log
16.11.2006 17:18 0 flaB7.tmp
16.11.2006 17:18 0 flaB6.tmp
16.11.2006 15:35 16.384 ~DF7C6A.tmp
16.11.2006 14:17 0 fla33.tmp
16.11.2006 11:24 48 injs.o.exe.conf
16.11.2006 11:15 50 ssd32.l.exe.conf
15.11.2006 22:28 16.384 ~DF33AD.tmp
15.11.2006 22:26 16.384 ~DFDE8D.tmp
15.11.2006 21:23 48 hdd.j.exe.conf
15.11.2006 21:23 25.088 91exhdd.j.exe
15.11.2006 18:07 23.552 88exssd32.l.exe
15.11.2006 18:07 23.552 59exssd32.l.exe
15.11.2006 18:07 23.552 21exssd32.l.exe
15.11.2006 17:06 0 bei8C.tmp
15.11.2006 17:01 0 fla8A.tmp
15.11.2006 16:59 0 4qo87.tmp
15.11.2006 16:56 0 gba86.tmp
15.11.2006 16:56 0 osp85.tmp
15.11.2006 16:48 0 zi881.tmp
15.11.2006 16:43 0 w6t80.tmp
15.11.2006 16:43 0 2us7F.tmp
15.11.2006 16:42 0 oe37E.tmp
15.11.2006 16:00 0 fkr73.tmp
15.11.2006 16:00 0 oyq72.tmp
15.11.2006 15:58 0 0vi71.tmp
15.11.2006 15:36 16.384 ~DFD138.tmp
15.11.2006 12:44 16.384 ~DF3AF8.tmp
15.11.2006 11:47 16.384 ~DF93A7.tmp
15.11.2006 09:40 16.384 ~DF8077.tmp
15.11.2006 08:14 16.384 ~DF55BA.tmp
15.11.2006 08:13 16.384 ~DFC044.tmp
15.11.2006 01:51 153.826 MSM______Termine_______Schuljahr_2006-07.pdf
15.11.2006 00:54 0 6ee53.tmp
15.11.2006 00:54 0 10z52.tmp
15.11.2006 00:52 0 ax751.tmp
14.11.2006 21:28 25.088 Project_discussion.doc
14.11.2006 21:00 31.232 im45_eksamensinfo2.doc
14.11.2006 19:20 218 02.10.rm.ram
14.11.2006 18:00 16.384 ~DF5D55.tmp
14.11.2006 12:55 36.415 image020.jpg
14.11.2006 12:54 18.219 image001.jpg
14.11.2006 12:54 0 flaF.tmp
14.11.2006 12:54 0 7bi8av5u.lnk
14.11.2006 12:51 0 flaC.tmp
14.11.2006 12:50 16.384 ~DFC07C.tmp
14.11.2006 10:48 30.208 Literature review-2.doc
14.11.2006 10:44 148.992 Final Presentation-2.ppt
14.11.2006 09:13 148.992 Final Presentation-1.ppt
14.11.2006 09:11 16.384 ~DF1847.tmp
14.11.2006 07:42 16.384 ~DF28EA.tmp
14.11.2006 02:29 148.992 Final Presentation.ppt
13.11.2006 23:38 16.384 ~DF3386.tmp
13.11.2006 17:06 5.031.936 .version16.doc
13.11.2006 17:02 273.226 Revised_presentation_Schedule.pdf
13.11.2006 11:25 145.408 Presentation_14.11.ppt
13.11.2006 11:13 28.160 Outline 11.11.06.doc
13.11.2006 11:10 16.384 ~DF8CAD.tmp
10.11.2006 17:00 16.384 ~DFD5FB.tmp
system.txt:

Zitat

17.11.2006 10:31 315.572 setupapi.log
17.11.2006 08:51 2.020.945 WindowsUpdate.log
17.11.2006 08:51 3.886 ModemLog_Intel(R) 537EA Modem.txt
17.11.2006 08:51 159 wiadebug.log
17.11.2006 08:51 50 wiaservc.log
17.11.2006 08:50 0 0.log
17.11.2006 08:50 2.048 bootstat.dat
17.11.2006 08:16 32.640 SchedLgU.Txt
17.11.2006 01:03 139.816 wmsetup.log
15.11.2006 15:36 213.715 comsetup.log
15.11.2006 15:36 99.786 iis6.log
15.11.2006 15:36 250.908 tsoc.log
15.11.2006 15:36 34.930 ocmsn.log
15.11.2006 15:36 1.393 imsins.log
15.11.2006 15:36 131.796 ntdtcsetup.log
15.11.2006 15:36 16.427 KB923980.log
15.11.2006 15:36 320.184 ocgen.log
15.11.2006 15:36 31.841 msgsocm.log
15.11.2006 15:36 634.811 FaxSetup.log
15.11.2006 15:36 1.393 imsins.BAK
15.11.2006 15:36 16.540 KB924270.log
15.11.2006 15:36 42.294 updspapi.log
15.11.2006 15:34 15.643 KB920213.log
15.11.2006 15:34 17.770 KB922760.log
15.11.2006 12:46 1.409 QTFont.for
15.11.2006 12:46 54.156 QTFont.qfn
14.11.2006 21:55 215.343 setupact.log
14.11.2006 00:32 114.260 DirectX.log
07.11.2006 00:00 116 NeroDigital.ini
11.10.2006 14:22 13.613 KB924191.log
11.10.2006 14:22 13.265 KB922819.log
11.10.2006 14:21 11.459 KB923414.log
11.10.2006 14:21 11.457 KB924496.log
11.10.2006 14:21 8.825 KB923191.log
26.09.2006 19:49 10.642 KB925486.log
15.09.2006 14:33 641 SWWATER.INI
13.09.2006 13:10 13.072 KB920685.log
13.09.2006 13:10 15.022 KB920872.log
13.09.2006 13:09 13.235 KB919007.log
13.09.2006 13:09 9.335 KB922582.log
01.09.2006 13:35 21 asfbin.ini
01.09.2006 13:30 264 asfbinapp.INI
28.08.2006 16:06 679 win.ini
28.08.2006 16:06 65 gvcasinos.ini
20.08.2006 19:33 5.904 mozver.dat
18.08.2006 13:19 7.303 TEXTWARE.UIN
18.08.2006 13:19 299 TEXTWARE.INI
13.08.2006 11:22 16.543 KB920214.log
13.08.2006 11:22 16.847 KB922616.log
13.08.2006 11:22 16.489 KB921398.log
13.08.2006 11:21 19.689 KB918899.log
13.08.2006 11:21 11.907 KB920670.log
13.08.2006 11:21 12.131 KB917422.log
13.08.2006 11:20 12.392 KB920683.log
tmp.txt

Zitat

17.11.2006 08:51 409 WGANotify.settings
17.11.2006 08:51 255 WGAErrLog.txt
14.11.2006 02:58 547.674 dneinst.log
10.11.2006 16:44 0 .tm2A.tmp
10.11.2006 09:50 0 .tm16.tmp
06.11.2006 23:43 0 .tm4E.tmp
06.11.2006 21:00 0 .tm44.tmp
26.10.2006 19:47 0 .tm14.tmp
15.09.2006 18:08 1.622 UpdC.tmp
27.08.2006 18:21 973 CamServr.log
27.08.2006 18:21 53.676 CamWizrd.log
27.08.2006 17:49 444 InstVid.log
27.08.2006 17:49 359 Instmed.log
11.08.2006 19:03 0 .tm13.tmp
30.12.2005 13:19 3 vastat.out
06.09.2005 12:18 0 .tm12.tmp
30.08.2005 10:18 0 .tm11.tmp
18.08.2005 17:01 0 .tm10.tmp
sys.txt:

Zitat

17.11.2006 11:07 0 sys.txt
17.11.2006 11:07 686 down.txt
17.11.2006 11:06 3.009 tmp.txt
17.11.2006 11:06 13.028 system.txt
17.11.2006 11:06 57.705 systemtemp.txt
17.11.2006 11:06 101.993 system32.txt
17.11.2006 10:43 4.901 files.txt
17.11.2006 10:41 1.166 c.txt
17.11.2006 08:50 535.875.584 hiberfil.sys
17.11.2006 08:50 805.306.368 pagefile.sys
Ergebnis von listen.bat -> files.txt:

Zitat

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

02.03.2006 21:23 2.508 $_hpcst$.hpc
12.09.2006 15:32 <DIR> 3M
16.03.2005 13:45 <DIR> Adobe
29.10.2004 13:47 <DIR> AdobeUM
27.03.2005 17:17 <DIR> Ahead
14.11.2006 01:09 <DIR> Ankh - Heart of Osiris
30.10.2004 10:48 <DIR> AOL
01.09.2004 12:22 <DIR> CyberLink
11.05.2005 10:43 85.720 GDIPFONTCACHEV1.DAT
05.04.2006 10:25 <DIR> Google
21.10.2004 09:33 <DIR> Help
17.08.2004 16:43 <DIR> Identities
08.08.2006 10:57 <DIR> Intel
21.08.2004 11:15 <DIR> Macromedia
26.02.2006 22:59 <DIR> Mozilla
20.08.2004 19:07 <DIR> Real
27.09.2006 22:55 <DIR> RhinoSoft.com
15.09.2006 11:56 <DIR> Shareaza
17.11.2006 10:33 <DIR> Skype
30.10.2004 17:58 <DIR> Sun
26.02.2006 22:59 <DIR> Talkback
26.02.2006 22:59 <DIR> Thunderbird
15.10.2006 17:37 <DIR> U3
11.12.2004 19:08 <DIR> Ulead Systems
01.03.2006 23:21 <DIR> vlc
17.11.2006 09:10 24.812 wklnhst.dat
20.08.2004 18:57 <DIR> You've Got Pictures Screensaver
3 Datei(en) 113.040 Bytes
24 Verzeichnis(se), 4.779.687.936 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\WINDOWS\Temp

17.11.2006 08:52 <DIR> .
17.11.2006 08:52 <DIR> ..
08.11.2004 16:52 0 .tm1.tmp
18.08.2005 17:01 0 .tm10.tmp
30.08.2005 10:18 0 .tm11.tmp
06.09.2005 12:18 0 .tm12.tmp
11.08.2006 19:03 0 .tm13.tmp
26.10.2006 19:47 0 .tm14.tmp
01.07.2005 11:21 0 .tm15.tmp
10.11.2006 09:50 0 .tm16.tmp
08.01.2005 14:34 0 .tm2.tmp
10.11.2006 16:44 0 .tm2A.tmp
16.03.2005 08:32 0 .tm3.tmp
17.03.2005 08:27 0 .tm4.tmp
06.11.2006 21:00 0 .tm44.tmp
06.11.2006 23:43 0 .tm4E.tmp
17.03.2005 11:22 0 .tm5.tmp
27.03.2005 17:16 0 .tm6.tmp
30.03.2005 20:43 0 .tm7.tmp
27.03.2005 17:19 0 .tm8.tmp
09.04.2005 10:38 0 .tm9.tmp
01.07.2005 09:57 0 .tmA.tmp
10.12.2004 21:33 0 .tmB.tmp
01.07.2005 11:05 0 .tmC.tmp
17.07.2005 18:50 0 .tmD.tmp
11.08.2005 17:39 0 .tmE.tmp
11.08.2005 17:40 0 .tmF.tmp
27.08.2006 18:21 973 CamServr.log
27.08.2006 18:21 53.676 CamWizrd.log
14.11.2006 02:58 547.674 dneinst.log
27.08.2006 17:49 359 Instmed.log
27.08.2006 17:49 444 InstVid.log
05.04.2005 13:30 0 JET6059.tmp
03.04.2005 13:09 0 JET6294.tmp
04.04.2005 19:16 0 JET6410.tmp
01.04.2005 10:29 0 JET6442.tmp
06.04.2005 12:34 0 JET6515.tmp
30.03.2005 20:42 0 JET65D3.tmp
28.03.2005 14:03 0 JET678C.tmp
29.03.2005 10:20 0 JET67BE.tmp
26.03.2005 10:01 0 JET6D2E.tmp
25.03.2005 16:02 0 JET6F5E.tmp
25.03.2005 09:51 0 JET7013.tmp
27.03.2005 17:59 0 JET712B.tmp
27.03.2005 17:13 0 JET713F.tmp
26.03.2005 21:16 0 JET764B.tmp
24.03.2005 17:24 0 JET76C3.tmp
26.03.2005 17:29 0 JET7944.tmp
24.03.2005 12:05 0 JET7D42.tmp
22.03.2005 12:14 0 JET809A.tmp
24.03.2005 12:42 0 JET81FD.tmp
27.03.2005 10:10 0 JET8E6E.tmp
23.03.2005 16:18 0 JET912B.tmp
24.03.2005 11:30 0 JETAF0E.tmp
14.11.2006 19:52 <DIR> r1ptemp43
22.03.2005 12:16 1.150 redist.log
08.09.2004 20:26 0 T30DebugLogFile.txt
15.09.2006 18:08 1.622 UpdC.tmp
30.12.2005 13:19 3 vastat.out
17.11.2006 08:51 255 WGAErrLog.txt
17.11.2006 08:51 409 WGANotify.settings
58 Datei(en) 606.565 Bytes
3 Verzeichnis(se), 4.779.683.840 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

02.03.2006 21:23 2.508 $_hpcst$.hpc
12.09.2006 15:32 <DIR> 3M
16.03.2005 13:45 <DIR> Adobe
29.10.2004 13:47 <DIR> AdobeUM
27.03.2005 17:17 <DIR> Ahead
14.11.2006 01:09 <DIR> Ankh - Heart of Osiris
30.10.2004 10:48 <DIR> AOL
01.09.2004 12:22 <DIR> CyberLink
11.05.2005 10:43 85.720 GDIPFONTCACHEV1.DAT
05.04.2006 10:25 <DIR> Google
21.10.2004 09:33 <DIR> Help
17.08.2004 16:43 <DIR> Identities
08.08.2006 10:57 <DIR> Intel
21.08.2004 11:15 <DIR> Macromedia
26.02.2006 22:59 <DIR> Mozilla
20.08.2004 19:07 <DIR> Real
27.09.2006 22:55 <DIR> RhinoSoft.com
15.09.2006 11:56 <DIR> Shareaza
17.11.2006 11:08 <DIR> Skype
30.10.2004 17:58 <DIR> Sun
26.02.2006 22:59 <DIR> Talkback
26.02.2006 22:59 <DIR> Thunderbird
15.10.2006 17:37 <DIR> U3
11.12.2004 19:08 <DIR> Ulead Systems
01.03.2006 23:21 <DIR> vlc
17.11.2006 09:10 24.812 wklnhst.dat
20.08.2004 18:57 <DIR> You've Got Pictures Screensaver
3 Datei(en) 113.040 Bytes
24 Verzeichnis(se), 4.776.210.432 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\WINDOWS\Temp

17.11.2006 08:52 <DIR> .
17.11.2006 08:52 <DIR> ..
08.11.2004 16:52 0 .tm1.tmp
18.08.2005 17:01 0 .tm10.tmp
30.08.2005 10:18 0 .tm11.tmp
06.09.2005 12:18 0 .tm12.tmp
11.08.2006 19:03 0 .tm13.tmp
26.10.2006 19:47 0 .tm14.tmp
01.07.2005 11:21 0 .tm15.tmp
10.11.2006 09:50 0 .tm16.tmp
08.01.2005 14:34 0 .tm2.tmp
10.11.2006 16:44 0 .tm2A.tmp
16.03.2005 08:32 0 .tm3.tmp
17.03.2005 08:27 0 .tm4.tmp
06.11.2006 21:00 0 .tm44.tmp
06.11.2006 23:43 0 .tm4E.tmp
17.03.2005 11:22 0 .tm5.tmp
27.03.2005 17:16 0 .tm6.tmp
30.03.2005 20:43 0 .tm7.tmp
27.03.2005 17:19 0 .tm8.tmp
09.04.2005 10:38 0 .tm9.tmp
01.07.2005 09:57 0 .tmA.tmp
10.12.2004 21:33 0 .tmB.tmp
01.07.2005 11:05 0 .tmC.tmp
17.07.2005 18:50 0 .tmD.tmp
11.08.2005 17:39 0 .tmE.tmp
11.08.2005 17:40 0 .tmF.tmp
27.08.2006 18:21 973 CamServr.log
27.08.2006 18:21 53.676 CamWizrd.log
14.11.2006 02:58 547.674 dneinst.log
27.08.2006 17:49 359 Instmed.log
27.08.2006 17:49 444 InstVid.log
05.04.2005 13:30 0 JET6059.tmp
03.04.2005 13:09 0 JET6294.tmp
04.04.2005 19:16 0 JET6410.tmp
01.04.2005 10:29 0 JET6442.tmp
06.04.2005 12:34 0 JET6515.tmp
30.03.2005 20:42 0 JET65D3.tmp
28.03.2005 14:03 0 JET678C.tmp
29.03.2005 10:20 0 JET67BE.tmp
26.03.2005 10:01 0 JET6D2E.tmp
25.03.2005 16:02 0 JET6F5E.tmp
25.03.2005 09:51 0 JET7013.tmp
27.03.2005 17:59 0 JET712B.tmp
27.03.2005 17:13 0 JET713F.tmp
26.03.2005 21:16 0 JET764B.tmp
24.03.2005 17:24 0 JET76C3.tmp
26.03.2005 17:29 0 JET7944.tmp
24.03.2005 12:05 0 JET7D42.tmp
22.03.2005 12:14 0 JET809A.tmp
24.03.2005 12:42 0 JET81FD.tmp
27.03.2005 10:10 0 JET8E6E.tmp
23.03.2005 16:18 0 JET912B.tmp
24.03.2005 11:30 0 JETAF0E.tmp
14.11.2006 19:52 <DIR> r1ptemp43
22.03.2005 12:16 1.150 redist.log
08.09.2004 20:26 0 T30DebugLogFile.txt
15.09.2006 18:08 1.622 UpdC.tmp
30.12.2005 13:19 3 vastat.out
17.11.2006 08:51 255 WGAErrLog.txt
17.11.2006 08:51 409 WGANotify.settings
58 Datei(en) 606.565 Bytes
3 Verzeichnis(se), 4.776.206.336 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\
Ergebnis von ServiceFilter.vbs:

Zitat

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Nov 17, 2006 11:09:40


---> Begin Service Listing <---

Unknown Service # 1
Service Name: Adobe LM Service
Display Name: Adobe LM Service
Start Mode: Manual
Start Name: LocalSystem
Description: AdobeLM ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 2
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 180
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 3
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: Echtzeit Virenschutz durch H+BEDV AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 244
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 4
Service Name: Bonjour Service
Display Name: Bonjour Dienst
Start Mode: Auto
Start Name: LocalSystem
Description: Ermöglicht Geräten und Software-Diensten sich automatisch für das Netzwerk zu konfigurieren und ...
Service Type: Own Process
Path: c:\programme\bonjour\mdnsresponder.exe
State: Running
Process ID: 268
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #5
Service Name: CA_LIC_CLNT
Display Name: CA-Lizenz-Client
Start Mode: Manual
Start Name: LocalSystem
Description: CA-Lizenz-Client...
Service Type: Own Process
Path: c:\programme\ca\sharedcomponents\ca_lic\lic98rmt.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: CA_LIC_SRVR
Display Name: CA-Lizenzserver
Start Mode: Manual
Start Name: LocalSystem
Description: CA-Lizenzserver...
Service Type: Own Process
Path: c:\programme\ca\sharedcomponents\ca_lic\lic98rmtd.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #7
Service Name: CVPND
Display Name: Cisco Systems, Inc. VPN Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\cisco systems\vpn client\cvpnd.exe"
State: Running
Process ID: 296
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 8
Service Name: EvtEng
Display Name: Intel(R) PROSet/Wireless Event Log
Start Mode: Auto
Start Name: LocalSystem
Description: Manages the event trace messages for all the components of Intel(R) PROSet/Wireless ...
Service Type: Own Process
Path: c:\programme\intel\wireless\bin\evteng.exe
State: Running
Process ID: 1300
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 9
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #10
Service Name: LogWatch
Display Name: Ereignisprotokoll-Überwachung
Start Mode: Auto
Start Name: LocalSystem
Description: Ereignisprotokoll-Überwachung...
Service Type: Own Process
Path: c:\programme\ca\sharedcomponents\ca_lic\logwatnt.exe
State: Running
Process ID: 348
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #11
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Unterstützt lokales und remotes Debuggen für Visual Studio- und Skript-Debugger. Wenn dieser ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe"
State: Running
Process ID: 364
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #12
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: RegSrvc
Display Name: Intel(R) PROSet/Wireless Registry Service
Start Mode: Auto
Start Name: LocalSystem
Description: Intel(R) PROSet/Wireless Registry ...
Service Type: Own Process
Path: c:\programme\intel\wireless\bin\regsrvc.exe
State: Running
Process ID: 444
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 14
Service Name: S24EventMonitor
Display Name: Intel(R) PROSet/Wireless Service
Start Mode: Auto
Start Name: LocalSystem
Description: Wireless Management Service for Intel(R) ...
Service Type: Own Process
Path: c:\programme\intel\wireless\bin\s24evmon.exe
State: Running
Process ID: 1420
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #15
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{c672ab4e-0aaf-4772-8b52-0d01f1f4fbfd}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 16
Service Name: WLANKEEPER
Display Name: Intel(R) PROSet/Wireless SSO Service
Start Mode: Auto
Start Name: LocalSystem
Description: Provides Single Sign On (SSO) ...
Service Type: Own Process
Path: c:\programme\intel\wireless\bin\wlkeeper.exe
State: Running
Process ID: 1440
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

---> End Service Listing <---

There are 96 Win32 services on this machine.
16 were unrecognized.

Script Execution Time: 0,609375 seconds.
Kann daraus nun jemand schlau werden? Dieser Virus nervt gewaltig..

Schonmal vielen Dank für die Hilfe!
Dieser Beitrag wurde am 17.11.2006 um 12:00 Uhr von poolparty editiert.
Seitenanfang Seitenende
17.11.2006, 13:26
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|.nvsvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Terminal Server\SysProcs|smss.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Terminal Server\SysProcs|smss.exe
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\SysProcs|smss.exe

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows Log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_LOG\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log

Files to delete:
C:\WINDOWS\system\smss.exe
C:\WINDOWS\gvcasinos.ini
C:\WINDOWS\system32\nvsvcd.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\52exmodul32e.o.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\ssd32.m.exe.conf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\hdd.k.exe.conf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\injs.p.exe.conf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\modul32e.o.exe.conf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\~DF87DF.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\flaE.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\~DF545A.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\~psn.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\autorun.inf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\setup.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\13exhdd.k.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\10exhdd.k.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\84exhdd.k.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\61exinjs.p.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\54exinjs.p.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\13exinjs.p.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\33exinjs.p.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\45exssd32.m.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\33exssd32.m.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\93exssd32.m.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\11exssd32.m.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\~DF85D3.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\d2nE3.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\~DF7C6A.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\fla33.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\injs.o.exe.conf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\ssd32.l.exe.conf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\~DF33AD.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\~DFDE8D.tmp
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\hdd.j.exe.conf
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\91exhdd.j.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\88exssd32.l.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\59exssd32.l.exe
C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp\21exssd32.l.exe

Folders to delete:
C:\Programme\Everest Poker
C:\Programme\PacificPoker

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom Avenger, was nach neustart erscheint

**
wende Cleanup an und starte den Rechner neu
http://virus-protect.org/cleanup.html

**
scanne und poste den scanreport
http://virus-protect.org/cureit.html

**
poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.11.2006, 16:48
poolparty
...neu hier

Themenstarter

Beiträge: 3
#3 So, habe alles der Reihe nach befolgt, leider habe ich gerade ein bisschen Probleme, die Logs hier zu posten, daher hänge ich sie mal in den Anhang.

Meinst Du, dass Everest Poker problematisch ist? Weil Du das unter die zu löschenden Ordner aufgeführt hast. Das habe ich selber installiert und spiele auch ab und zu Poker im Netz, oder ist das ne Gefahr?

Schonmal vielen Dank für die Hilfe.

poolparty
-----------------------------------------------------------------

C:\Programme\Everest Poker\cstart-tmp.exe ist ein Adware-Programm Adware.Casino


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\Programme\\Anti-Leech\\ALIE_1.0.1.6\\alhlp.exe"="C:\\Programme\\Anti-Leech\\ALIE_1.0.1.6\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program"

"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\90exinjs.o.exe"="C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\90exinjs.o.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\54exinjs.p.exe"="C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\54exinjs.p.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\13exinjs.p.exe"="C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\13exinjs.p.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\61exinjs.p.exe"="C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\61exinjs.p.exe:*:Enabled:Microsoft Update"
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\33exinjs.p.exe"="C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\33exinjs.p.exe:*:Enabled:Microsoft Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000004
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

Anhang: logs.rar
Dieser Beitrag wurde am 17.11.2006 um 19:29 Uhr von poolparty editiert.
Seitenanfang Seitenende
18.11.2006, 00:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.11.2006, 09:27
poolparty
...neu hier

Themenstarter

Beiträge: 3
#5 Hier der Inhalt der filex.txt

Zitat

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

02.03.2006 21:23 2.508 $_hpcst$.hpc
12.09.2006 15:32 <DIR> 3M
16.03.2005 13:45 <DIR> Adobe
29.10.2004 13:47 <DIR> AdobeUM
27.03.2005 17:17 <DIR> Ahead
14.11.2006 01:09 <DIR> Ankh - Heart of Osiris
30.10.2004 10:48 <DIR> AOL
01.09.2004 12:22 <DIR> CyberLink
11.05.2005 10:43 85.720 GDIPFONTCACHEV1.DAT
05.04.2006 10:25 <DIR> Google
21.10.2004 09:33 <DIR> Help
17.08.2004 16:43 <DIR> Identities
08.08.2006 10:57 <DIR> Intel
21.08.2004 11:15 <DIR> Macromedia
26.02.2006 22:59 <DIR> Mozilla
20.08.2004 19:07 <DIR> Real
27.09.2006 22:55 <DIR> RhinoSoft.com
17.11.2006 10:33 <DIR> Skype
30.10.2004 17:58 <DIR> Sun
26.02.2006 22:59 <DIR> Talkback
26.02.2006 22:59 <DIR> Thunderbird
15.10.2006 17:37 <DIR> U3
11.12.2004 19:08 <DIR> Ulead Systems
01.03.2006 23:21 <DIR> vlc
17.11.2006 09:10 24.812 wklnhst.dat
20.08.2004 18:57 <DIR> You've Got Pictures Screensaver
3 Datei(en) 113.040 Bytes
24 Verzeichnis(se), 4.779.687.936 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\WINDOWS\Temp

17.11.2006 08:52 <DIR> .
17.11.2006 08:52 <DIR> ..
08.11.2004 16:52 0 .tm1.tmp
18.08.2005 17:01 0 .tm10.tmp
30.08.2005 10:18 0 .tm11.tmp
06.09.2005 12:18 0 .tm12.tmp
11.08.2006 19:03 0 .tm13.tmp
26.10.2006 19:47 0 .tm14.tmp
01.07.2005 11:21 0 .tm15.tmp
10.11.2006 09:50 0 .tm16.tmp
08.01.2005 14:34 0 .tm2.tmp
10.11.2006 16:44 0 .tm2A.tmp
16.03.2005 08:32 0 .tm3.tmp
17.03.2005 08:27 0 .tm4.tmp
06.11.2006 21:00 0 .tm44.tmp
06.11.2006 23:43 0 .tm4E.tmp
17.03.2005 11:22 0 .tm5.tmp
27.03.2005 17:16 0 .tm6.tmp
30.03.2005 20:43 0 .tm7.tmp
27.03.2005 17:19 0 .tm8.tmp
09.04.2005 10:38 0 .tm9.tmp
01.07.2005 09:57 0 .tmA.tmp
10.12.2004 21:33 0 .tmB.tmp
01.07.2005 11:05 0 .tmC.tmp
17.07.2005 18:50 0 .tmD.tmp
11.08.2005 17:39 0 .tmE.tmp
11.08.2005 17:40 0 .tmF.tmp
27.08.2006 18:21 973 CamServr.log
27.08.2006 18:21 53.676 CamWizrd.log
14.11.2006 02:58 547.674 dneinst.log
27.08.2006 17:49 359 Instmed.log
27.08.2006 17:49 444 InstVid.log
05.04.2005 13:30 0 JET6059.tmp
03.04.2005 13:09 0 JET6294.tmp
04.04.2005 19:16 0 JET6410.tmp
01.04.2005 10:29 0 JET6442.tmp
06.04.2005 12:34 0 JET6515.tmp
30.03.2005 20:42 0 JET65D3.tmp
28.03.2005 14:03 0 JET678C.tmp
29.03.2005 10:20 0 JET67BE.tmp
26.03.2005 10:01 0 JET6D2E.tmp
25.03.2005 16:02 0 JET6F5E.tmp
25.03.2005 09:51 0 JET7013.tmp
27.03.2005 17:59 0 JET712B.tmp
27.03.2005 17:13 0 JET713F.tmp
26.03.2005 21:16 0 JET764B.tmp
24.03.2005 17:24 0 JET76C3.tmp
26.03.2005 17:29 0 JET7944.tmp
24.03.2005 12:05 0 JET7D42.tmp
22.03.2005 12:14 0 JET809A.tmp
24.03.2005 12:42 0 JET81FD.tmp
27.03.2005 10:10 0 JET8E6E.tmp
23.03.2005 16:18 0 JET912B.tmp
24.03.2005 11:30 0 JETAF0E.tmp
14.11.2006 19:52 <DIR> r1ptemp43
22.03.2005 12:16 1.150 redist.log
08.09.2004 20:26 0 T30DebugLogFile.txt
15.09.2006 18:08 1.622 UpdC.tmp
30.12.2005 13:19 3 vastat.out
17.11.2006 08:51 255 WGAErrLog.txt
17.11.2006 08:51 409 WGANotify.settings
58 Datei(en) 606.565 Bytes
3 Verzeichnis(se), 4.779.683.840 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

02.03.2006 21:23 2.508 $_hpcst$.hpc
12.09.2006 15:32 <DIR> 3M
16.03.2005 13:45 <DIR> Adobe
29.10.2004 13:47 <DIR> AdobeUM
27.03.2005 17:17 <DIR> Ahead
14.11.2006 01:09 <DIR> Ankh - Heart of Osiris
30.10.2004 10:48 <DIR> AOL
01.09.2004 12:22 <DIR> CyberLink
11.05.2005 10:43 85.720 GDIPFONTCACHEV1.DAT
05.04.2006 10:25 <DIR> Google
21.10.2004 09:33 <DIR> Help
17.08.2004 16:43 <DIR> Identities
08.08.2006 10:57 <DIR> Intel
21.08.2004 11:15 <DIR> Macromedia
26.02.2006 22:59 <DIR> Mozilla
20.08.2004 19:07 <DIR> Real
27.09.2006 22:55 <DIR> RhinoSoft.com
15.09.2006 11:56 <DIR> Shareaza
17.11.2006 11:08 <DIR> Skype
30.10.2004 17:58 <DIR> Sun
26.02.2006 22:59 <DIR> Talkback
26.02.2006 22:59 <DIR> Thunderbird
15.10.2006 17:37 <DIR> U3
11.12.2004 19:08 <DIR> Ulead Systems
01.03.2006 23:21 <DIR> vlc
17.11.2006 09:10 24.812 wklnhst.dat
20.08.2004 18:57 <DIR> You've Got Pictures Screensaver
3 Datei(en) 113.040 Bytes
24 Verzeichnis(se), 4.776.210.432 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\WINDOWS\Temp

17.11.2006 08:52 <DIR> .
17.11.2006 08:52 <DIR> ..
08.11.2004 16:52 0 .tm1.tmp
18.08.2005 17:01 0 .tm10.tmp
30.08.2005 10:18 0 .tm11.tmp
06.09.2005 12:18 0 .tm12.tmp
11.08.2006 19:03 0 .tm13.tmp
26.10.2006 19:47 0 .tm14.tmp
01.07.2005 11:21 0 .tm15.tmp
10.11.2006 09:50 0 .tm16.tmp
08.01.2005 14:34 0 .tm2.tmp
10.11.2006 16:44 0 .tm2A.tmp
16.03.2005 08:32 0 .tm3.tmp
17.03.2005 08:27 0 .tm4.tmp
06.11.2006 21:00 0 .tm44.tmp
06.11.2006 23:43 0 .tm4E.tmp
17.03.2005 11:22 0 .tm5.tmp
27.03.2005 17:16 0 .tm6.tmp
30.03.2005 20:43 0 .tm7.tmp
27.03.2005 17:19 0 .tm8.tmp
09.04.2005 10:38 0 .tm9.tmp
01.07.2005 09:57 0 .tmA.tmp
10.12.2004 21:33 0 .tmB.tmp
01.07.2005 11:05 0 .tmC.tmp
17.07.2005 18:50 0 .tmD.tmp
11.08.2005 17:39 0 .tmE.tmp
11.08.2005 17:40 0 .tmF.tmp
27.08.2006 18:21 973 CamServr.log
27.08.2006 18:21 53.676 CamWizrd.log
14.11.2006 02:58 547.674 dneinst.log
27.08.2006 17:49 359 Instmed.log
27.08.2006 17:49 444 InstVid.log
05.04.2005 13:30 0 JET6059.tmp
03.04.2005 13:09 0 JET6294.tmp
04.04.2005 19:16 0 JET6410.tmp
01.04.2005 10:29 0 JET6442.tmp
06.04.2005 12:34 0 JET6515.tmp
30.03.2005 20:42 0 JET65D3.tmp
28.03.2005 14:03 0 JET678C.tmp
29.03.2005 10:20 0 JET67BE.tmp
26.03.2005 10:01 0 JET6D2E.tmp
25.03.2005 16:02 0 JET6F5E.tmp
25.03.2005 09:51 0 JET7013.tmp
27.03.2005 17:59 0 JET712B.tmp
27.03.2005 17:13 0 JET713F.tmp
26.03.2005 21:16 0 JET764B.tmp
24.03.2005 17:24 0 JET76C3.tmp
26.03.2005 17:29 0 JET7944.tmp
24.03.2005 12:05 0 JET7D42.tmp
22.03.2005 12:14 0 JET809A.tmp
24.03.2005 12:42 0 JET81FD.tmp
27.03.2005 10:10 0 JET8E6E.tmp
23.03.2005 16:18 0 JET912B.tmp
24.03.2005 11:30 0 JETAF0E.tmp
14.11.2006 19:52 <DIR> r1ptemp43
22.03.2005 12:16 1.150 redist.log
08.09.2004 20:26 0 T30DebugLogFile.txt
15.09.2006 18:08 1.622 UpdC.tmp
30.12.2005 13:19 3 vastat.out
17.11.2006 08:51 255 WGAErrLog.txt
17.11.2006 08:51 409 WGANotify.settings
58 Datei(en) 606.565 Bytes
3 Verzeichnis(se), 4.776.206.336 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Anwendungsdaten

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5

18.11.2006 09:20 65.536 index.dat
1 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 5.540.274.176 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\Dokumente und Einstellungen\Eiermann\Lokale Einstellungen\Temp

18.11.2006 09:21 <DIR> .
18.11.2006 09:21 <DIR> ..
18.11.2006 09:18 412 jusched.log
18.11.2006 09:08 1.440 LVCOMSX.LOG
18.11.2006 09:08 375 WCESCOMM.LOG
18.11.2006 09:08 569 WCESLog.log
18.11.2006 09:22 288 WcesView.log
17.11.2006 16:54 16.384 ~DF416.tmp
18.11.2006 09:09 512 ~DFD442.tmp
17.11.2006 16:54 16.384 ~DFD9FC.tmp
18.11.2006 09:20 16.384 ~DFEE33.tmp
18.11.2006 09:08 0 ~psn.tmp
10 Datei(en) 52.748 Bytes
2 Verzeichnis(se), 5.540.274.176 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\WINDOWS\Temp

18.11.2006 09:19 <DIR> .
18.11.2006 09:19 <DIR> ..
17.11.2006 16:47 0 T30DebugLogFile.txt
18.11.2006 09:19 255 WGAErrLog.txt
18.11.2006 09:08 409 WGANotify.settings
3 Datei(en) 664 Bytes
2 Verzeichnis(se), 5.540.274.176 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F418-7F23

Verzeichnis von C:\
Seitenanfang Seitenende
18.11.2006, 15:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
gehe in die Registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

loeschen:

"C:\\WINDOWS\\system32\\svchost.exe
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\90exinjs.o.exe
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\54exinjs.p.exe
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\13exinjs.p.exe
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\61exinjs.p.exe
"C:\\DOKUME~1\\Eiermann\\LOKALE~1\\Temp\\33exinjs.p.exe

___________________________________

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 - in 1 aendern

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 - in 0 aendern
"FirewallDisableNotify"=dword:00000001 - in 0 aendern
"AntiVirusOverride"=dword:00000001 - in 0 aendern

PC neustarten

**
scanne mit kaspersky und poste den scanreport hier
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1