Virusbursters entfernen

#1 Hallo,

ich haber mir Virusbursters eingafangen, vielleicht auch noch mehr, keine ahnung.
Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:57:15, on 22.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Sicherheit\OmniPass\Omniserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Program Files\Infineon\Security Platform Software\PSDsrvc.EXE
C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Infineon\Security Platform Software\PSDrt.exe
C:\Program Files\Infineon\Security Platform Software\SpTna.exe
C:\WINDOWS\system32\ishost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LGDMEBTN.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Sicherheit\OmniPass\scureapp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\LG Software\IP Operator\IP Operator.exe
C:\Program Files\LG Software\On Screen Display\HotKey.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\LG Software\Battery Miser\batterymiser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRSTrayApp.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Rainlendar\Rainlendar.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\KALTEN~1\LOCALS~1\Temp\Rar$EX00.875\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LG Direct Media Button Service] LGDMEBTN.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [OmniPass] C:\Sicherheit\OmniPass\scureapp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IPO3] "C:\Program Files\LG Software\IP Operator\IP Operator.exe" -aUtOsTaRtFrOmReG
O4 - HKLM\..\Run: [KeybdUtility] "C:\Program Files\LG Software\On Screen Display\HotKey.exe"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O5 "LPT1:" /M "Stylus C66"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [batterymiser] "C:\Program Files\LG Software\Battery Miser\batterymiser.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SRSTrayApp] C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRSTrayApp.exe
O4 - Startup: Rainlendar.lnk = C:\Program Files\Rainlendar\Rainlendar.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O20 - Winlogon Notify: IfxWlxEN - C:\WINDOWS\SYSTEM32\IfxWlxEN.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: OPXPGina - C:\WINDOWS\
O20 - Winlogon Notify: winmyy32 - C:\WINDOWS\SYSTEM32\winmyy32.dll
O21 - SSODL: boucicault - {0bad5052-665d-40d4-a9bd-a2891eaafb42} - C:\WINDOWS\system32\fmrmhc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Sicherheit\OmniPass\Omniserv.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Program Files\Infineon\Security Platform Software\PSDsrvc.EXE
O23 - Service: SRS PostInstaller Service (SRS_PostInstaller) - SRS Labs, Inc. - C:\Program Files\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2 Oliver11

««
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

Da ich die Vermutung habe etwas ähnliches mir eingefangen zu haben, schreibe ich einfach hier mit...

Symptome:

mein winsys verhält sich ganz komisch! nach dem Start kommt nichts! nur das Bild auf dem Desktop mehr nicht!!!
Exporer.exe startet nicht!

Ich habe in Ab.Modus probiert ohne Erfolg... dann über Tastmanager explorer.exe zu starten auch ohne Erfolg, ich kann aber andere Programme starten! Z.b. habe ich mein Nod32 laufen lassen, es hat zwar ein Trojaner gefunden und gelöscht, hat aber nichts an dem Problem gelöst.... jetzt habe ich Nod32 upgedatet und auf C losgelassen, diesmal nichts gefunden nur lauter Files auf die er nicht zugreifen kann...

In der regedit habe ich folgenden Eintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"AutoRestartShell" REG_DWORD 0x00000001 (1)
"Shell"="Explorer.exe"

Ich habe wie du Oliver11 vorgeschlagen hast alles getan:

Mit cleanup und combofix:


Hier:


Neo - 06-11-22 15:57:10,37 Service Pack 2
ComboFix 06.11.22 - Running from: "C:\Programme\Opera"

((((((((((((((((((((((((((((((( Files Created from 2006-10-22 to 2006-11-22 ))))))))))))))))))))))))))))))))))


2006-11-22 15:50 <DIR> d-------- C:\Programme\CleanUp!
2006-11-22 11:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Neo\Recent
2006-11-20 10:06 <DIR> d-------- C:\c583bfecabe7cab175bf07042eb5
2006-11-14 14:50 502,368 --a------ C:\WINXP\system32\drivers\amon.sys
2006-11-14 14:50 274,432 --a------ C:\WINXP\system32\imon.dll
2006-11-14 14:50 <DIR> d-------- C:\Programme\Eset
2006-11-14 14:47 <DIR> d-------- C:\Programme\Nod32
2006-11-13 17:06 <DIR> d-------- C:\Programme\TurnTool
2006-11-10 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Neo\DATA
2006-11-06 15:33 5,760 --a------ C:\WINXP\system32\drivers\yrtumdriver.sys
2006-11-06 15:33 <DIR> d-------- C:\Programme\KYE
2006-11-06 12:59 <DIR> d-------- C:\Programme\Microsoft.NET
2006-11-06 12:59 <DIR> d-------- C:\Programme\Microsoft Office2003
2006-11-06 12:55 <DIR> dr-h----- C:\MSOCache
2006-11-04 15:39 <DIR> d-------- C:\Programme\Microsoft Visual Studio
2006-11-04 15:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-11-04 14:14 1,245,696 --a------ C:\WINXP\system32\msxml4.dll
2006-10-28 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zeon
2006-10-28 18:07 <DIR> d-------- C:\WINXP\system32\DocucomRes6
2006-10-28 18:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2006-10-27 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2006-10-27 16:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA
2006-10-27 15:19 <DIR> d-------- C:\Programme\kX Project
2006-10-27 15:05 <DIR> d-------- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\vlc
2006-10-27 13:45 <DIR> d-------- C:\Programme\Microsoft IntelliType Pro
2006-10-27 13:44 <DIR> d-------- C:\Programme\Microsoft IntelliType Pro 5.5
2006-10-25 00:32 <DIR> d-------- C:\NVIDIA


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-22 15:56 -------- d-------- C:\Programme\Opera
2006-11-22 13:17 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-22 12:15 -------- d-------- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\uTorrent
2006-11-22 08:55 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-11-22 08:48 -------- d-------- C:\Programme\ac'tivAid
2006-11-20 22:40 -------- d-------- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\Skype
2006-11-20 10:05 -------- d-------- C:\Programme\Internet Explorer
2006-11-13 19:56 -------- d-------- C:\Programme\DVBViewer
2006-11-09 13:14 -------- d-------- C:\Programme\Google
2006-11-09 13:10 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-08 22:16 -------- d-------- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\OpenOffice.org2
2006-11-06 14:59 -------- d-------- C:\Programme\Winamp
2006-11-06 12:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-06 12:55 -------- d-------- C:\Programme\Microsoft Office
2006-11-05 18:13 -------- d-------- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\VMware
2006-11-04 15:39 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-01 22:09 -------- d-------- C:\Programme\Zoom Player
2006-10-28 18:07 -------- d-------- C:\Programme\ScanSoft
2006-10-27 18:04 -------- d-------- C:\Programme\XnView
2006-10-27 15:08 -------- d-------- C:\Programme\VideoLAN
2006-10-27 08:44 -------- d-------- C:\Programme\No23 Recorder
2006-10-24 20:42 -------- d---s---- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\Microsoft
2006-10-24 19:41 -------- d-------- C:\Programme\Microsoft Games
2006-10-24 17:24 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-24 17:05 -------- d-------- C:\Programme\Gemeinsame Dateien\mapserv
2006-10-24 16:41 -------- d-------- C:\Programme\Gemeinsame Dateien\Lexware
2006-10-21 13:33 -------- d-------- C:\Programme\uTorrent
2006-10-17 13:42 -------- d-------- C:\Programme\Unlocker
2006-10-16 13:36 -------- d-------- C:\Programme\VisionGS PE
2006-10-16 12:37 -------- d-------- C:\Programme\OEKOTEST
2006-10-16 12:17 -------- d-------- C:\Programme\Amazon PriceWatcher
2006-10-15 04:51 -------- d-------- C:\Programme\AutoHotkey
2006-10-13 13:35 65536 --a------ C:\WINXP\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINXP\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINXP\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINXP\system32\drivers\nwrdr.sys
2006-10-13 10:13 -------- d-------- C:\Programme\audiograbber
2006-10-09 11:15 -------- d-------- C:\Programme\WindowBlinds
2006-10-08 13:41 -------- d-------- C:\Programme\capture
2006-10-06 23:40 -------- d-------- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\klickTel
2006-10-06 23:31 -------- d-------- C:\Programme\klickTel
2006-10-06 03:22 -------- d-------- C:\Programme\Canon
2006-10-05 14:02 -------- d-------- C:\Dokumente und Einstellungen\Neo\Anwendungsdaten\dvdcss
2006-10-01 10:54 -------- d-------- C:\Programme\Convar
2006-09-25 14:44 -------- d-------- C:\Programme\MSXML 4.0
2006-09-25 14:44 -------- d-------- C:\Programme\GameSpy Arcade
2006-09-25 14:04 -------- d-------- C:\Programme\FMS
2006-09-25 13:55 2829 --a------ C:\WINXP\War3Unin.pif
2006-09-25 13:55 126976 --a------ C:\WINXP\War3Unin.exe
2006-09-25 13:55 -------- d-------- C:\Programme\Warcraft III
2006-09-25 13:45 12400 --a------ C:\WINXP\system32\drivers\secdrv.sys
2006-09-25 12:52 -------- d-------- C:\Programme\Ubisoft
2006-09-15 15:39 208896 --a------ C:\WINXP\system32\NVUNINST.EXE
2006-09-15 15:39 208896 --a------ C:\WINXP\system32\nvudisp.exe
2006-09-13 06:02 1084416 --a------ C:\WINXP\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINXP\system32\comctl32.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINXP\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nForce Tray Options"="sstray.exe /r"
"Outpost Firewall"="C:\\Programme\\Agnitum\\Outpost Firewall\\outpost.exe /waitservice"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINXP\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"OSSelectorReinstall"="C:\\Programme\\Gemeinsame Dateien\\Acronis\\Acronis Disk Director\\oss_reinstall.exe"
"UserFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,\
6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,75,00
"NvMediaCenter"="RUNDLL32.EXE C:\\WINXP\\system32\\NvMcTray.dll,NvTaskbarInit"
"kX Mixer"="kxmixer --startup"
"ErgoMedia"="C:\\PROGRA~1\\KYE\\ERGOME~1\\SyTray.exe"
"nod32kui"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"MSConfig"="C:\\WINXP\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,cb,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINXP\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINXP\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Acrobat - Schnellstart.lnk"
"backup"="C:\\WINXP\\pss\\Adobe Acrobat - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINXP\\Installer\\{AC76BA86-1033-F400-7760-000000000002}\\SC_Acrobat.exe "
"item"="Adobe Acrobat - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Color Calibration.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Color Calibration.lnk"
"backup"="C:\\WINXP\\pss\\Color Calibration.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MAGICT~1.6_C\\GAMMAT~1.EXE "
"item"="Color Calibration"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MagicTune3.6.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\MagicTune3.6.lnk"
"backup"="C:\\WINXP\\pss\\MagicTune3.6.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MAGICT~1.6_C\\MAGICT~2.EXE "
"item"="MagicTune3.6"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINXP\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Server4PC.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Server4PC.lnk"
"backup"="C:\\WINXP\\pss\\Server4PC.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\TECHNI~2\\bin\\SERVER~1.EXE "
"item"="Server4PC"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Neo^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Neo\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINXP\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Neo^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
"path"="C:\\Dokumente und Einstellungen\\Neo\\Startmenü\\Programme\\Autostart\\OpenOffice.org 2.0.lnk"
"backup"="C:\\WINXP\\pss\\OpenOffice.org 2.0.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\OPENOF~1.0\\program\\QUICKS~1.EXE "
"item"="OpenOffice.org 2.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Neo^Startmenü^Programme^Autostart^Sonic CinePlayer Quick Launch.lnk]
"path"="C:\\Dokumente und Einstellungen\\Neo\\Startmenü\\Programme\\Autostart\\Sonic CinePlayer Quick Launch.lnk"
"backup"="C:\\WINXP\\pss\\Sonic CinePlayer Quick Launch.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\SONICS~1\\cinetray.exe "
"item"="Sonic CinePlayer Quick Launch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Neo^Startmenü^Programme^Autostart^wbload.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\Neo\\Startmenü\\Programme\\Autostart\\wbload.exe.lnk"
"backup"="C:\\WINXP\\pss\\wbload.exe.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\WI559D~1\\wbload.exe "
"item"="wbload.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Neo^Startmenü^Programme^Autostart^WISO Bewerbung-Reminder.lnk]
"path"="C:\\Dokumente und Einstellungen\\Neo\\Startmenü\\Programme\\Autostart\\WISO Bewerbung-Reminder.lnk"
"backup"="C:\\WINXP\\pss\\WISO Bewerbung-Reminder.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\WISO\\BEWERB~1.0\\KCREMI~1.EXE "
"item"="WISO Bewerbung-Reminder"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Acrotray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis Scheduler2 Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="schedhlp"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acronis True Image Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TrueImageMonitor"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Elements 4.0\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVBViewer Starter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="starter"
"hkey"="HKLM"
"command"="C:\\Programme\\DVBViewer\\starter.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GoogleDesktop"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\L06DXLRD_19443218]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="EDICT"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Microsoft Lernen und Wissen\\Microsoft Lernen und Wissen 2006 DVD\\EDICT.EXE\" -m"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Language"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchList]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LaunchList"
"hkey"="HKLM"
"command"="C:\\Programme\\Pinnacle\\Studio 10\\LaunchList.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Logi_MwX"
"hkey"="HKLM"
"command"="Logi_MwX.Exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINXP\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia Tray Application]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NclTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Nokia\\NCLTools\\NclTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="OpAgent"
"hkey"="HKCU"
"command"="\"C:\\Programme\\ScanSoft\\OmniPage15.0\\OpAgent.exe\" /agent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="OpScheduler"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPage15.0\\OpScheduler.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Opware15]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Opware15"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPage15.0\\Opware15.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDF3 Registry Controller]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RegistryController"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPage15.0\\PDFConverter3\\\\RegistryController.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PicasaMediaDetector"
"hkey"="HKLM"
"command"="C:\\Programme\\Picasa2\\PicasaMediaDetector.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PSDrvCheck"
"hkey"="HKLM"
"command"="C:\\WINXP\\system32\\\\PSDrvCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SSBkgdupdate"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="C:\\Programme\\Valve\\Steam\\\\Steam.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UnlockerAssistant"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Unlocker\\UnlockerAssistant.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xfriend]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="xfriend"
"hkey"="HKCU"
"command"="C:\\Programme\\xfriend\\xfriend.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ypager"
"hkey"="HKCU"
"command"="C:\\Programme\\Yahoo!\\Messenger\\ypager.exe -quiet"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NVSvc"=dword:00000002
"Adobe LM Service"=dword:00000003
"iPodService"=dword:00000003
"IDriverT"=dword:00000003
"VMware NAT Service"=dword:00000002
"vmount2"=dword:00000002
"VMnetDHCP"=dword:00000002
"VMAuthdService"=dword:00000002
"AcrSch2Svc"=dword:00000002
"ose"=dword:00000003
"AdobeActiveFileMonitor4.0"=dword:00000002
"PinnacleSys.MediaServer"=dword:00000002
"Lbctevqp"=dword:00000003
"odserv"=dword:00000003
"RichVideo"=dword:00000002
"MDM"=dword:00000002
"RasAuto"=dword:00000003
"mnmsrvc"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-22 15:59:37.67
C:\ComboFix.txt ... 06-11-22 15:59


##################

Hier ist mein Hijackthis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:01:02, on 22.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\drivers\CDAC11BA.EXE
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Eset\nod32krn.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINXP\system32\slserv.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Eset\nod32.exe
C:\WINXP\regedit.exe
C:\WINXP\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Neo\Desktop\Apps_Temp\hijackthis_199\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aljazeera.net/channel
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CAdBlocker Object - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kX Mixer] kxmixer --startup
O4 - HKLM\..\Run: [ErgoMedia] C:\PROGRA~1\KYE\ERGOME~1\SyTray.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - Startup: ac'tivAid.lnk = C:\Programme\ac'tivAid\ac'tivAid.ahk
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINXP\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINXP\system32\msjava.dll
O9 - Extra button: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra 'Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\PROGRA~1\Acronis\PRIVAC~1\Blocker.dll
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll,wbsys.dll C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINXP\system32\drivers\CDAC11BA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINXP\SYSTEM32\slserv.exe



Was kann ich sonst noch tun?

DAnke

#4 Combofix:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ishost.exe"="ishost.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"boucicault"="{0bad5052-665d-40d4-a9bd-a2891eaafb42}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDTray"="\"C:\\Program Files\\CloneCD\\CloneCDTray.exe\" /s"
"LG Intelligent Update"="\"C:\\Program Files\\lg_swupdate\\autoupdate.exe\" Gilautouc"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Critical Battery Alarm Program.job
C:\WINDOWS\tasks\Low Battery Alarm Program.job
C:\WINDOWS\tasks\Security Platform Backup Schedule.job

Completion time: 06-11-22 16:03:19.71
C:\ComboFix.txt ... 06-11-22 16:03

system32:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CF5-643D

Verzeichnis von C:\WINDOWS\system32

22.11.2006 15:57 53.953 vsconfig.xml
22.11.2006 15:00 4.286 ot.ico
22.11.2006 15:00 4.286 ts.ico
22.11.2006 14:22 380.684 perfh009.dat
22.11.2006 14:22 53.098 perfc009.dat
22.11.2006 14:22 439.376 PerfStringBackup.INI
22.11.2006 13:42 77.824 fmrmhc.dll
22.11.2006 10:37 4.212 zllictbl.dat
22.11.2006 10:20 17.408 winmyy32.dll
16.11.2006 06:20 10.474.920 MRT.exe
04.11.2006 14:14 1.245.696 msxml4.dll
16.10.2006 15:14 98.304 CmdLineExt.dll
16.10.2006 11:29 248.320 xpsp3res.dll
16.10.2006 06:56 1.158 wpa.dbl
13.10.2006 13:35 65.536 nwwks.dll
13.10.2006 13:35 142.336 nwprovau.dll
13.10.2006 13:35 64.000 nwapi32.dll
18.09.2006 23:21 6.976 jupdate-1.5.0_06-b05.log
14.09.2006 09:31 664.576 wininet.dll
14.09.2006 09:31 615.936 urlmon.dll
14.09.2006 09:31 3.058.688 mshtml.dll
14.09.2006 09:31 532.480 mstime.dll
14.09.2006 09:31 39.424 pngfilt.dll
14.09.2006 09:31 474.112 shlwapi.dll
14.09.2006 09:31 146.432 msrating.dll
14.09.2006 09:31 448.512 mshtmled.dll
14.09.2006 09:31 96.256 inseng.dll
14.09.2006 09:31 251.904 iepeers.dll
14.09.2006 09:31 15.872 jsproxy.dll
14.09.2006 09:31 205.312 dxtrans.dll
14.09.2006 09:31 1.022.976 browseui.dll
14.09.2006 09:31 357.888 dxtmsft.dll
14.09.2006 09:31 151.040 cdfview.dll
14.09.2006 09:31 1.054.208 danim.dll
14.09.2006 09:31 55.808 extmgr.dll
13.09.2006 06:01 1.084.416 msxml3.dll
12.09.2006 16:19 192.184 FNTCACHE.DAT
04.09.2006 21:51 176.167 rmoc3260.dll
04.09.2006 21:51 6.656 pndx5016.dll
04.09.2006 21:51 5.632 pndx5032.dll
04.09.2006 21:51 278.528 pncrt.dll
04.09.2006 07:12 1.497.088 shdocvw.dll
01.09.2006 15:14 65.536 QuickTimeVR.qtx
01.09.2006 15:14 49.152 QuickTime.qts

systemtemp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CF5-643D

Verzeichnis von C:\DOCUME~1\KALTEN~1\LOCALS~1\Temp

22.11.2006 15:59 16.384 Perflib_Perfdata_89c.dat
22.11.2006 15:59 16.384 Perflib_Perfdata_444.dat
22.11.2006 15:59 16.384 Perflib_Perfdata_d80.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 29.879.001.088 Bytes frei

system:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CF5-643D

Verzeichnis von C:\WINDOWS

22.11.2006 16:04 5.506 ModemLog_Bluetooth LAP Modem #2.txt
22.11.2006 15:57 0 0.log
22.11.2006 15:56 1.945.982 WindowsUpdate.log
22.11.2006 15:56 2.048 bootstat.dat
22.11.2006 15:54 32.616 SchedLgU.Txt
22.11.2006 14:07 212.391 setupact.log
22.11.2006 09:31 54.156 QTFont.qfn
21.11.2006 12:41 69.901 setupapi.log
18.11.2006 23:41 182.171 comsetup.log
18.11.2006 23:41 242.620 tsoc.log
18.11.2006 23:41 592.585 iis6.log
18.11.2006 23:41 108.753 ntdtcsetup.log
18.11.2006 23:41 26.485 tabletoc.log
18.11.2006 23:41 28.587 ocmsn.log
18.11.2006 23:41 1.393 imsins.log
18.11.2006 23:41 21.916 KB923980.log
18.11.2006 23:41 250.928 ocgen.log
18.11.2006 23:41 90.513 netfxocm.log
18.11.2006 23:41 25.900 msgsocm.log
18.11.2006 23:41 35.923 MedCtrOC.log
18.11.2006 23:41 512.374 FaxSetup.log
18.11.2006 23:41 163.528 msmqinst.log
18.11.2006 23:41 1.393 imsins.BAK
18.11.2006 23:41 21.567 KB924270.log
18.11.2006 23:41 27.221 updspapi.log
18.11.2006 23:40 23.954 KB920213.log
18.11.2006 01:00 31.678 KB922760.log
16.11.2006 23:24 50 wiaservc.log
16.11.2006 23:24 216 wiadebug.log
12.11.2006 18:52 44.189 wmsetup.log
18.10.2006 18:47 959 lgcenter.ini
18.10.2006 13:29 12.008 lg_up.ini
16.10.2006 15:10 230.453 DirectX.log
16.10.2006 07:21 1.409 QTFont.for
16.10.2006 06:59 13.915 KB924191.log
16.10.2006 06:59 13.497 KB922819.log
16.10.2006 06:59 11.733 KB923414.log
16.10.2006 06:59 13.509 KB924496.log
16.10.2006 06:58 8.990 KB923191.log
07.10.2006 20:06 10.360 scunin.dat
07.10.2006 20:06 967 ScUnin.pif
07.10.2006 20:06 67.584 ScUnin.exe
27.09.2006 13:47 10.890 KB925486.log
18.09.2006 23:21 3.535 mozver.dat
13.09.2006 07:44 13.316 KB920685.log
13.09.2006 07:44 15.194 KB920872.log
13.09.2006 07:44 13.472 KB919007.log
13.09.2006 07:43 9.187 KB922582.log
12.09.2006 12:38 997 eReg.dat
09.09.2006 13:17 10.209 KB901190.log
08.09.2006 01:38 1.050.917 setupapi.log.1.old

tmp:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CF5-643D

Verzeichnis von C:\WINDOWS\Temp

22.11.2006 16:04 25.120 iddD.tmp.exe
22.11.2006 16:04 52.224 winC.tmp.exe
2 Datei(en) 77.344 Bytes
0 Verzeichnis(se), 29.878.947.840 Bytes frei

down:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CF5-643D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 10:41 5.032 swflash.inf
19.01.2006 17:37 65 desktop.ini
2 Datei(en) 5.097 Bytes
0 Verzeichnis(se), 29.878.951.936 Bytes frei

c:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CF5-643D

Verzeichnis von C:\

22.11.2006 16:10 0 sys.txt
22.11.2006 16:09 345 down.txt
22.11.2006 16:09 327 tmp.txt
22.11.2006 16:09 10.105 system.txt
22.11.2006 16:08 432 systemtemp.txt
22.11.2006 16:08 109.262 system32.txt
22.11.2006 16:03 10.375 ComboFix.txt
22.11.2006 15:56 1.072.025.600 hiberfil.sys
22.11.2006 15:55 1.610.612.736 pagefile.sys
18.07.2006 18:28 45.056 NewShortcut2_D52FB7FCBA0548A399F27778E184CAF7.exe
18.07.2006 10:34 211 boot.ini
12.02.2006 19:48 250.048 ntldr
19.01.2006 17:38 0 IO.SYS
19.01.2006 17:38 0 CONFIG.SYS
19.01.2006 17:38 0 MSDOS.SYS
19.01.2006 17:38 0 AUTOEXEC.BAT
04.08.2004 13:00 47.564 NTDETECT.COM
17 Datei(en) 2.683.112.061 Bytes
0 Verzeichnis(se), 29.878.947.840 Bytes frei

#5 @oliver

hoffe du bist nicht sauer, dass ich mich einfach auf die Art in deinem Thread eingeklinkt habe.

Wie ist es bei dir passiert? Oder woher weißt du, dass du es eingefangen hast??

#6 @User674
macht nix.

Weiß nicht genau wie es passiert ist, hab wohl was infiziertes geöffnet. Ich weiß es weil in der Startleiste ein Symbol (Mine und Rufzeichen abwechseld) ist, das meldet: Critical System Errors! und wenn man draufklickt kommt man auf die Virusbustersseite, außerdem Meldet Antivir andauernd die selben Trojaner.

#7 Und bist du das Ding los oder immer noch nicht?
Wenn ich nur wüßte wie!!!

Sabina!! Wo bleibst du?
Wir warten! ;-(


Ein wenig Vorarbeit:

Datfind Ergebnisse im Anhang.

#8 Oliver11

ich kann leider keine komplette reinigung erstellen, weil du das log vom combofix nicht komplett gepostet hast - und meine glaskugel.... ist gerade nicht zur Hand

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|ishost.exe
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|boucicault
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0bad5052-665d-40d4-a9bd-a2891eaafb42}

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{052b12f7-86fa-4921-8482-26c42316b522}
HKLM\SOFTWARE\Classes\CLSID\{0bad5052-665d-40d4-a9bd-a2891eaafb42}
HKLM\SOFTWARE\Classes\CLSID\{755bbd1a-aa59-456c-afeb-b4c42c4dcb6f}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{755bbd1a-aa59-456c-afeb-b4c42c4dcb6f}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32

Files to delete:
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\fmrmhc.dll
C:\WINDOWS\system32\winmyy32.dll
C:\WINDOWS\Temp\iddD.tmp.exe
C:\WINDOWS\Temp\winC.tmp.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\SafetyBar.dll (file missing)

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

PC neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 User674

ich sehe kein Problem , und was du oben aufgefuehrt hast, ist korrekt

"AutoRestartShell" REG_DWORD 0x00000001 (1)
"Shell"="Explorer.exe"

du kannst es mit onlinescans versuchen, wenn du der Meinung bist, dass Viren auf dem Rechner sind:
http://virus-protect.org/onlinescan.html

---------------------------

P.S: rechtsklick auf diese Datei: C:\c583bfecabe7cab175bf07042eb5
ueberpruefe, wozu sie gehoert.
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Sorry, hier der gesamte Log:

Kaltenreiner - 06-11-23 8:38:26,15 Service Pack 2
ComboFix 06.11.22 - Running from: "C:\Documents and Settings\Kaltenreiner\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-10-23 to 2006-11-23 ))))))))))))))))))))))))))))))))))


2006-11-22 17:08 19,456 --a------ C:\WINDOWS\system32\cool.exe
2006-11-22 13:42 77,824 --a------ C:\WINDOWS\system32\fmrmhc.dll
2006-11-22 10:20 17,408 --a------ C:\WINDOWS\system32\winmyy32.dll
2006-11-21 13:02 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-11-21 13:01 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2006-11-19 10:21 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-18 23:41 <DIR> d--hs---- C:\Config.Msi
2006-11-18 23:41 <DIR> d-------- C:\Program Files\MSXML 4.0
2006-11-18 23:40 <DIR> d-------- C:\6dd1fc01a47a25376ec7b192f378
2006-11-17 22:02 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2006-11-17 22:02 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2006-11-17 20:00 <DIR> d-------- C:\WINDOWS\Internet Logs
2006-11-17 19:45 <DIR> d--hs---- C:\WINDOWS\ftpcache
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-01 17:01 <DIR> d-------- C:\Documents and Settings\Kaltenreiner\Application Data\Azureus
2006-10-23 20:00 <DIR> d-------- C:\Program Files\Mozilla Firefox


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-20 22:19 -------- d-------- C:\Documents and Settings\Kaltenreiner\Application Data\OpenOffice.org2
2006-11-18 01:00 -------- d-------- C:\Program Files\Internet Explorer
2006-11-17 21:03 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-12 18:58 -------- d-------- C:\Program Files\ICQLite
2006-10-24 18:05 -------- d-------- C:\Program Files\DOSBox-0.65
2006-10-23 19:22 -------- d-------- C:\Program Files\Firefox
2006-10-20 15:16 -------- d-------- C:\Program Files\Hex-Editor MX
2006-10-18 18:47 -------- d-------- C:\Program Files\lg_swupdate
2006-10-18 13:29 -------- d-------- C:\Program Files\LG Software
2006-10-16 15:14 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-10-16 15:10 -------- d-------- C:\Program Files\THQ
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 142336 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-10 08:19 -------- d-------- C:\Program Files\QuickTime
2006-10-10 08:18 -------- d-------- C:\Program Files\Apple Software Update
2006-10-09 22:04 -------- d-------- C:\Program Files\Google
2006-10-09 22:04 -------- d-------- C:\Documents and Settings\Kaltenreiner\Application Data\Google
2006-10-08 03:48 -------- d-------- C:\Documents and Settings\Kaltenreiner\Application Data\vlc
2006-10-08 01:27 -------- d-------- C:\Program Files\VideoLAN
2006-10-07 20:06 967 --a------ C:\WINDOWS\ScUnin.pif
2006-10-07 20:06 67584 --a------ C:\WINDOWS\ScUnin.exe
2006-09-13 06:01 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-04 22:08 774144 --a------ C:\Program Files\RngInterstitial.dll
2006-08-25 16:45 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-25 04:47 115880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-08-09 19:05 869 --a------ C:\Documents and Settings\Kaltenreiner\Application Data\AdobeDLM.log
2006-08-09 19:05 0 --a------ C:\Documents and Settings\Kaltenreiner\Application Data\dm.ini


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SRSTrayApp"="C:\\Program Files\\SRS Labs\\WOWXT and TSXT Driver\\SRSTrayApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"IAAnotif"="C:\\Program Files\\Intel\\Intel Matrix Storage Manager\\iaanotif.exe"
"SynTPEnh"="C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /installquiet"
"AGRSMMSG"="AGRSMMSG.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"LG Direct Media Button Service"="LGDMEBTN.exe"
"avgnt"="\"C:\\Program Files\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"OmniPass"="C:\\Sicherheit\\OmniPass\\scureapp.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"IPO3"="\"C:\\Program Files\\LG Software\\IP Operator\\IP Operator.exe\" -aUtOsTaRtFrOmReG"
"KeybdUtility"="\"C:\\Program Files\\LG Software\\On Screen Display\\HotKey.exe\""
"EPSON Stylus C66 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0S2.EXE /P23 \"EPSON Stylus C66 Series\" /O5 \"LPT1:\" /M \"Stylus C66\""
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"IMEKRMIG6.1"="C:\\WINDOWS\\ime\\imkr6_1\\IMEKRMIG.EXE"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"batterymiser"="\"C:\\Program Files\\LG Software\\Battery Miser\\batterymiser.exe\""
"Zone Labs Client"="\"C:\\Sicherheit\\ZoneAlarm\\zlclient.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,50,01,00,00,00,00,00,00,40,05,00,00,fc,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,50,01,00,00,00,00,00,00,40,05,00,00,fc,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{0bad5052-665d-40d4-a9bd-a2891eaafb42}"="boucicault"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{26F5978F-6493-4ee3-B114-C0C3ACCF9D4D}"="BatteryMiser Psap Shl Ext"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"boucicault"="{0bad5052-665d-40d4-a9bd-a2891eaafb42}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CloneCDTray"="\"C:\\Program Files\\CloneCD\\CloneCDTray.exe\" /s"
"LG Intelligent Update"="\"C:\\Program Files\\lg_swupdate\\autoupdate.exe\" Gilautouc"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Critical Battery Alarm Program.job
C:\WINDOWS\tasks\Low Battery Alarm Program.job
C:\WINDOWS\tasks\Security Platform Backup Schedule.job

Completion time: 06-11-23 8:39:38.25
C:\ComboFix.txt ... 06-11-23 08:39
C:\ComboFix2.txt ... 06-11-22 16:03

#11 EDIT:// CLEAN UP hab ich bereits durchgeführt.// hallo...habe das selbe problem, hier mein log-file nach combofix:

SANDRO - 06-11-23 10:39:44.23 Service Pack 2
ComboFix 06.11.22 - Running from: "C:\Programme\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2006-10-23 to 2006-11-23 ))))))))))))))))))))))))))))))))))


2006-11-23 09:58 <DIR> d-------- C:\Programme\CleanUp!
2006-11-23 01:08 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-11-23 01:08 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-23 01:08 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-11-23 01:08 <DIR> d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-11-23 01:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2006-11-22 23:35 <DIR> d-------- C:\Programme\Gold Codec
2006-11-21 19:59 81,920 --a------ C:\WINDOWS\system32\NotifyPhoneBook.exe
2006-11-21 19:59 65,536 --a------ C:\WINDOWS\system32\RasXP.exe
2006-11-21 19:59 45,056 --a------ C:\WINDOWS\system32\GainSettings.exe
2006-11-21 19:59 38,860 --a------ C:\WINDOWS\system32\Wippppoe.dll
2006-11-21 19:59 36,864 --a------ C:\WINDOWS\system32\Wip.exe
2006-11-21 19:59 36,864 --a------ C:\WINDOWS\system32\Ras2000.exe
2006-11-21 19:59 32,768 --a------ C:\WINDOWS\system32\RemDial.exe
2006-11-21 19:59 32,768 --a------ C:\WINDOWS\system32\ELAN.EXE
2006-11-21 19:59 32,768 --a------ C:\WINDOWS\system32\AMEUninst2000.exe
2006-11-21 19:59 307,200 --------- C:\WINDOWS\system32\MultLang.dll
2006-11-21 19:59 30,182 --a------ C:\WINDOWS\system32\wippppoe.sys
2006-11-21 19:59 29 --a------ C:\WINDOWS\system32\InstallMOF.bat
2006-11-21 19:59 282,624 --------- C:\WINDOWS\system32\Utility.exe
2006-11-21 19:59 28,672 --a------ C:\WINDOWS\system32\UninstPPPoE.exe
2006-11-21 19:59 28,672 --a------ C:\WINDOWS\system32\RShort2k.exe
2006-11-21 19:59 28,672 --a------ C:\WINDOWS\system32\PnpFix.exe
2006-11-21 19:59 28,672 --a------ C:\WINDOWS\system32\DisconnectPPPoE.exe
2006-11-21 19:59 28,672 --a------ C:\WINDOWS\system32\AMELaunchUninst.exe
2006-11-21 19:59 28,672 --a------ C:\WINDOWS\system32\AMEInstall.exe
2006-11-21 19:59 241,664 --a------ C:\WINDOWS\system32\WipDUN.exe
2006-11-21 19:59 24,576 --a------ C:\WINDOWS\system32\AMECSARemove.exe
2006-11-21 19:59 24,576 --------- C:\WINDOWS\system32\RenCSA.exe
2006-11-21 19:59 24,576 --------- C:\WINDOWS\system32\DelCSA.exe
2006-11-21 19:59 12,507 --a------ C:\WINDOWS\system32\Snetcfg.exe
2006-11-21 19:59 109,563 --------- C:\WINDOWS\system32\drivers\Amelanpc.sys
2006-11-15 23:21 <DIR> d-------- C:\Programme\Kaspersky Lab
2006-11-15 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-11-15 23:10 28,672 --a------ C:\WINDOWS\system32\regclass.dll
2006-11-15 23:10 <DIR> d-------- C:\Programme\FirefoxPreloader
2006-11-15 22:55 <DIR> d-------- C:\kav
2006-11-15 21:45 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Talkback
2006-11-15 21:44 <DIR> d-------- C:\Programme\Mozilla Firefox
2006-11-15 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Mozilla
2006-11-15 20:49 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2006-11-15 20:08 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2006-11-15 20:07 <DIR> d-------- C:\WINDOWS\SHELLNEW
2006-11-15 20:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DESIGNER
2006-11-15 20:06 <DIR> d-------- C:\Programme\Microsoft.NET
2006-11-15 19:55 <DIR> d-------- C:\Programme\Elaborate Bytes
2006-11-14 20:13 <DIR> d-------- C:\Programme\Microsoft Office
2006-11-14 20:12 <DIR> dr-h----- C:\MSOCache
2006-11-14 17:46 3,328 --a------ C:\WINDOWS\system32\drivers\qv2kux.sys
2006-11-13 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Macromedia
2006-11-13 19:04 <DIR> d-------- C:\Programme\MMediaCodec
2006-11-13 14:44 306,688 --a------ C:\WINDOWS\IsUninst.exe
2006-11-13 14:44 <DIR> d-------- C:\WINDOWS\system32\Adobe
2006-11-13 14:44 <DIR> d-------- C:\WINDOWS\Profiles
2006-11-13 14:44 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\InterTrust
2006-11-12 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Azureus
2006-11-12 20:20 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-11-12 20:20 <DIR> d-------- C:\Programme\TuneUp Utilities 2006
2006-11-12 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\TuneUp Software
2006-11-12 20:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-11-12 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2006-11-12 20:11 98,304 --a------ C:\WINDOWS\system32\msir3jp.dll
2006-11-12 20:11 838,144 --a------ C:\WINDOWS\system32\chtbrkr.dll
2006-11-12 20:11 70,656 --a------ C:\WINDOWS\system32\korwbrkr.dll
2006-11-12 20:11 1,677,824 --a------ C:\WINDOWS\system32\chsbrkr.dll
2006-11-12 20:10 9,216 --a------ C:\WINDOWS\system32\kbdnecAT.dll
2006-11-12 20:10 7,680 --a------ C:\WINDOWS\system32\kbdnecNT.dll
2006-11-12 20:10 7,168 --a------ C:\WINDOWS\system32\kbdnec95.dll
2006-11-12 20:10 7,168 --a------ C:\WINDOWS\system32\kbdibm02.dll
2006-11-12 20:10 7,168 --a------ C:\WINDOWS\system32\f3ahvoas.dll
2006-11-12 20:10 6,656 --a------ C:\WINDOWS\system32\kbdlk41a.dll
2006-11-12 20:10 6,656 --a------ C:\WINDOWS\system32\c_is2022.dll
2006-11-12 20:10 6,144 --a------ C:\WINDOWS\system32\kbdlk41j.dll
2006-11-12 20:10 6,144 --a------ C:\WINDOWS\system32\kbdax2.dll
2006-11-12 20:10 6,144 --a------ C:\WINDOWS\system32\kbd106n.dll
2006-11-12 20:10 6,144 --a------ C:\WINDOWS\system32\kbd101a.dll
2006-11-12 20:10 6,144 --a------ C:\WINDOWS\system32\kbd101.dll
2006-11-12 20:10 218,112 --a------ C:\WINDOWS\system32\c_g18030.dll
2006-11-12 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Adobe
2006-11-12 20:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2006-11-12 19:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-11-12 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2006-11-12 19:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-12 19:57 <DIR> d-------- C:\Programme\Adobe
2006-11-12 19:55 811,064 --a------ C:\WINDOWS\system32\imjp81k.dll
2006-11-12 19:55 76,288 --a------ C:\WINDOWS\system32\uniime.dll
2006-11-12 19:54 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll
2006-11-12 19:54 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll
2006-11-12 19:54 6,144 --a------ C:\WINDOWS\system32\kbd106.dll
2006-11-12 19:54 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll
2006-11-12 19:54 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll
2006-11-12 19:54 5,632 --a------ C:\WINDOWS\system32\kbd103.dll
2006-11-12 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Contacts
2006-11-12 18:55 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2006-11-12 18:55 <DIR> d-------- C:\Programme\MSN Messenger
2006-11-12 18:50 <DIR> d-------- C:\Programme\7-Zip
2006-11-12 18:37 <DIR> d-------- C:\Programme\WinRAR
2006-11-12 18:35 <DIR> d-------- C:\WINDOWS\Sun
2006-11-12 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Sun
2006-11-12 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\MSNInstaller
2006-11-12 18:34 <DIR> d-------- C:\Programme\Java
2006-11-12 18:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2006-11-12 18:30 <DIR> d-------- C:\Programme\Azureus
2006-11-12 16:38 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2006-11-12 16:38 270,336 --a------ C:\WINDOWS\system32\imon.dll
2006-11-12 16:38 <DIR> d-------- C:\Programme\Eset
2006-11-12 16:37 <DIR> d-------- C:\DOWNLOAD
2006-11-12 16:02 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Ahead
2006-11-12 15:58 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2006-11-12 15:58 2,977,792 --------- C:\WINDOWS\UNNeroVision.exe
2006-11-12 15:56 38,912 --------- C:\WINDOWS\system32\picn20.dll
2006-11-12 15:56 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll
2006-11-12 15:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2006-11-12 15:54 90,184 --a------ C:\WINDOWS\system32\NeroCo.dll
2006-11-12 15:54 2,920,448 --------- C:\WINDOWS\UNNeroBurnRights.exe
2006-11-12 15:52 2,916,352 --------- C:\WINDOWS\UNNMP.exe
2006-11-12 15:47 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2006-11-12 15:47 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2006-11-12 15:47 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2006-11-12 15:47 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2006-11-12 15:47 106,496 --------- C:\WINDOWS\system32\TwnLib20.dll
2006-11-12 15:47 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2006-11-12 15:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-11-12 15:47 <DIR> d-------- C:\Programme\Ahead
2006-11-12 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2006-11-11 00:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\SANDRO\SendTo
2006-11-11 00:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\SANDRO\Recent
2006-11-11 00:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\.
2006-11-11 00:23 <DIR> dr-h----- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten
2006-11-11 00:23 <DIR> dr------- C:\Dokumente und Einstellungen\SANDRO\Startmen�
2006-11-11 00:23 <DIR> dr------- C:\Dokumente und Einstellungen\SANDRO\Favoriten
2006-11-11 00:23 <DIR> dr------- C:\Dokumente und Einstellungen\SANDRO\Eigene Dateien
2006-11-11 00:23 <DIR> d--h----- C:\Dokumente und Einstellungen\SANDRO\Vorlagen
2006-11-11 00:23 <DIR> d--h----- C:\Dokumente und Einstellungen\SANDRO\Netzwerkumgebung
2006-11-11 00:23 <DIR> d--h----- C:\Dokumente und Einstellungen\SANDRO\Lokale Einstellungen
2006-11-11 00:23 <DIR> d--h----- C:\Dokumente und Einstellungen\SANDRO\Druckumgebung
2006-11-11 00:23 <DIR> d---s---- C:\Dokumente und Einstellungen\SANDRO\Cookies
2006-11-11 00:23 <DIR> d---s---- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Microsoft
2006-11-11 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Desktop
2006-11-11 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\Identities
2006-11-11 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\ATI
2006-11-11 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\Anwendungsdaten\..
2006-11-11 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\..
2006-11-11 00:23 <DIR> d-------- C:\Dokumente und Einstellungen\SANDRO\.


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-21 19:59 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-19 14:43 -------- d-------- C:\Programme\Online-Dienste
2006-11-18 03:00 -------- d-------- C:\Programme\Internet Explorer
2006-11-15 23:33 61072 --a------ C:\WINDOWS\system32\drivers\klick.sys
2006-11-15 23:33 59536 --a------ C:\WINDOWS\system32\drivers\klin.sys
2006-11-15 20:16 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-15 20:08 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-15 20:07 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-11-13 00:36 -------- d-------- C:\Programme\Outlook Express
2006-11-12 18:33 -------- d-------- C:\Programme\MSN
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"NBJ"="\"C:\\PROGRA~1\\Ahead\\NEROBA~1\\NBJ.exe\""
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"High Definition Audio Property Page Shortcut"="HDAShCut.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"Sunkist2k"="C:\\Programme\\Multimedia Card Reader\\shwicon2k.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"kis"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""
@=""
"AME_CSA"="rundll32 amecsa.cpl,RUN_DLL"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,00,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,80,00,00,00,00,00,00,00,80,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{40dcff6e-af8d-4183-8ebe-a82270ac449e}"="gimmicks"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoUserNameInStartMenu"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\Gold Codec\\isamonitor.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"gimmicks"="{40dcff6e-af8d-4183-8ebe-a82270ac449e}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

Completion time: 06-11-23 10:42:05.81
C:\ComboFix.txt ... 06-11-23 10:42

#12 Folgende beiden Einträge waren nicht zu vorhanden:

O2 - BHO: (no name) - {755bbd1a-aa59-456c-afeb-b4c42c4dcb6f} - C:\WINDOWS\system32\ixt0.dll

O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Program Files\Safety Bar\SafetyBar.dll (file missing)


Das Logfile von SUPERAntiSpyware:

SUPERAntiSpyware Scan Log
Generated 11/23/2006 at 09:42 AM

Application Version : 3.3.1020

Core Rules Database Version : 3135
Trace Rules Database Version: 1152

Scan type : Complete Scan
Total Scan Time : 00:24:31

Memory items scanned : 607
Memory Thread detected : 0
Registry items scanned : 4404
Registry Thread detected : 14
File items scanned : 36562
File Thread detected : 4

Adware.IST/YourSiteBar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll#.Owner
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ysbactivex.dll#{42F2C9BA-614F-47C0-B3E3-ECFD34EED658}

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
HKLM\SOFTWARE\Microsoft\MSSMGR#BSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#MSLIST
HKLM\SOFTWARE\Microsoft\MSSMGR#SSTV

Malware.Safety Bar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar#DisplayName
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar#UninstallString

Malware.VirusBursters
C:\SYSTEM VOLUME INFORMATION\_RESTORE{24C3AF5F-B9F8-4A78-98E9-950FCA07D08A}\RP108\A0036352.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{24C3AF5F-B9F8-4A78-98E9-950FCA07D08A}\RP109\A0038389.EXE

Unclassified.Unknown Origin
C:\SYSTEM VOLUME INFORMATION\_RESTORE{24C3AF5F-B9F8-4A78-98E9-950FCA07D08A}\RP109\A0038392.DLL
C:\SYSTEM VOLUME INFORMATION\_RESTORE{24C3AF5F-B9F8-4A78-98E9-950FCA07D08A}\RP109\A0040656.DLL




vielen vielen dank schonmal für deine Hilfe Sabina
lg Oliver

#13 Oliver11

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|boucicault
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0bad5052-665d-40d4-a9bd-a2891eaafb42}

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{0bad5052-665d-40d4-a9bd-a2891eaafb42}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32

Files to delete:
C:\WINDOWS\system32\cool.exe
C:\WINDOWS\system32\fmrmhc.dll
C:\WINDOWS\system32\winmyy32.dll

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

++poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\cvsxbjqa

*******************

Script file located at: \??\C:\oifbnoyo.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\cool.exe not found!
Deletion of file C:\WINDOWS\system32\cool.exe failed!

Could not process line:
C:\WINDOWS\system32\cool.exe
Status: 0xc0000034



File C:\WINDOWS\system32\fmrmhc.dll not found!
Deletion of file C:\WINDOWS\system32\fmrmhc.dll failed!

Could not process line:
C:\WINDOWS\system32\fmrmhc.dll
Status: 0xc0000034



File C:\WINDOWS\system32\winmyy32.dll not found!
Deletion of file C:\WINDOWS\system32\winmyy32.dll failed!

Could not process line:
C:\WINDOWS\system32\winmyy32.dll
Status: 0xc0000034



Could not delete registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|boucicault
Deletion of registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|boucicault failed!
Status: 0xc0000034



Could not delete registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0bad5052-665d-40d4-a9bd-a2891eaafb42}
Deletion of registry value HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0bad5052-665d-40d4-a9bd-a2891eaafb42} failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Classes\CLSID\{0bad5052-665d-40d4-a9bd-a2891eaafb42} not found!
Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{0bad5052-665d-40d4-a9bd-a2891eaafb42} failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmyy32 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

#15 Oliver11

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit