Virusburster Eingefangen

#1 Hallo liebe Leute,

ich glaube ich habe mir den hartnäckigen VIRUSBURSTERS eingefangen.
Sysmptome: 2 Minen; gelbe, dreieckige, blinkender Warnung "Critical System Errors". ich werde aufgefordert, drauf zu klicken, wenn ich meinen Laptop schützen will.
wie bekomme ich das Vieh weg !!!!
PS: bin kein PC-Kenner

MfG
Andralex
__________
Beste Grüße von andralex

#2 1.
Erstellen eines Hijackthis-Logfiles
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html

und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,
Erstmal danke für deine Antwort auf meine Anfrage.
Hier das Log. Wie gehe ich jetzt weiter vor?
MfG
andralex


Logfile of HijackThis v1.99.1
Scan saved at 9:56:49, on 30.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Acer\Acer Arcade\PCMService.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
C:\Programme\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\andre\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Acer\Acer Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Programme\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [ImageItEncrypt] C:\WINDOWS\system32\ImageItEncrypt.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufugen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{74894B6A-ADF8-48BE-9F2E-B1BB802357FE}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B6F457B-ECFD-4A24-855A-BC2F3AEBB434}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BA6583A-D7C2-4879-9A35-32904044FEEC}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8DF4F4A-6CCF-43E9-B699-60F7074A2006}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.110 85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.110 85.255.112.170
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\system32\tazth.dll (file missing)
O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\system32\xxfgmy.dll
O21 - SSODL: benumbment - {af4fd984-a939-4c32-82b2-8bae7abe9aec} - C:\WINDOWS\system32\dbqlrij.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
__________
Beste Grüße von andralex

#4 andralex

die Internetverbindung wird auf einen Server in die Ukraine umgeleitet - es sind mehrere schritte notwendig, um das zu saeubern

0.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste den report hier

1.
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

2.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi Sabina,

ich konnte bei BLACKLIGHT die FSB*.TXT Datei nicht finden, habe dafür die Fixwareout ver 1.003 verwendet. Ist es falsch?
Wie gehe ich nun weiter?
Danke im Voraus

MfG
Andralex


Fixwareout ver 1.003
Last edited 8/11/2006
Post this report in the forums please

Reg Entries that were deleted
...

Microsoft (R) Windows Script Host Version 5.6
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE

OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.
Directory of C:\WINDOWS\system32

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.


ANTWORT VON ANDRALEX

Hi Sabina, hier das Logfile von ComboFix, hoffe es hilft. wie ich sagte, bin kein PC Kenner. Best Grüße. Andralex.
--------------------------------------------------------------------------

andre - 06-11-30 11:22:10,09 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\andre\Eigene Dateien\ANDRE\VIRUSBURSTERS"

((((((((((((((((((((((((((((((( Files Created from 2006-10-30 to 2006-11-30 ))))))))))))))))))))))))))))))))))


2006-11-30 10:57 <DIR> d-------- C:\fixwareout
2006-11-28 19:55 <DIR> d-------- C:\Programme\CleanUp!
2006-11-27 23:34 <DIR> d--h----- C:\Programme\Uninstall Information
2006-11-27 23:20 <DIR> d-------- C:\WINDOWS\WBEM
2006-11-27 23:20 <DIR> d-------- C:\WINDOWS\system32\de-de
2006-11-27 23:19 <DIR> d--h----- C:\WINDOWS\ie7
2006-11-27 23:17 121,856 --------- C:\WINDOWS\system32\xmllite.dll
2006-11-27 23:16 <DIR> d-------- C:\WINDOWS\network diagnostic
2006-11-27 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2006-11-27 18:25 77,824 --a------ C:\WINDOWS\system32\dbqlrij.dll
2006-11-27 18:25 <DIR> d-------- C:\Programme\Silver Codec
2006-11-27 17:21 77,824 --a------ C:\WINDOWS\system32\xxfgmy.dll
2006-11-27 17:21 <DIR> d-------- C:\Programme\Virus-Bursters
2006-11-24 11:51 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2006-11-19 01:34 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-16 18:58 <DIR> d-------- C:\Temp
2006-11-16 13:35 <DIR> d-------- C:\Dokumente und Einstellungen\andre\Anwendungsdaten\ICQ Toolbar
2006-11-16 13:34 <DIR> d-------- C:\Programme\ICQToolbar
2006-11-16 13:34 <DIR> d-------- C:\Programme\ICQLite
2006-11-07 21:03 6,049,280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50,688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458,752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 180,736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 03:26 13,312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-03 21:25 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-03 21:14 <DIR> d-------- C:\Programme\JoWooD
2006-11-02 18:39 <DIR> d-------- C:\Programme\Gadu-Gadu
2006-11-02 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\andre\Gadu-Gadu
2006-11-01 22:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2006-11-01 20:26 <DIR> d-------- C:\Programme\iVideoCodec


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-10-27 19:52 12400 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-10-27 19:37 -------- d-------- C:\Programme\Ubi Soft
2006-10-27 18:13 -------- d-------- C:\Programme\TrueCodec
2006-10-17 12:06 78336 --a------ C:\WINDOWS\system32\ieencode.dll
2006-10-17 12:05 40960 --a------ C:\WINDOWS\system32\licmgr10.dll
2006-10-17 12:05 206336 --------- C:\WINDOWS\system32\WinFXDocObj.exe
2006-10-17 12:05 105984 --a------ C:\WINDOWS\system32\url.dll
2006-10-17 12:04 101376 --a------ C:\WINDOWS\system32\occache.dll
2006-10-17 12:03 17408 --a------ C:\WINDOWS\system32\corpol.dll
2006-10-17 11:58 61952 --------- C:\WINDOWS\system32\icardie.dll
2006-10-17 11:58 12288 --------- C:\WINDOWS\system32\msfeedssync.exe
2006-10-17 11:57 36352 --a------ C:\WINDOWS\system32\imgutil.dll
2006-10-17 11:57 266752 --------- C:\WINDOWS\system32\iertutil.dll
2006-10-17 11:56 45568 --a------ C:\WINDOWS\system32\mshta.exe
2006-10-17 11:28 48128 --a------ C:\WINDOWS\system32\mshtmler.dll
2006-10-17 11:27 380928 --------- C:\WINDOWS\system32\ieapfltr.dll
2006-10-14 17:12 -------- d-------- C:\Programme\EA GAMES
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-04 19:46 -------- d-------- C:\Programme\FRITZ!DSL
2006-10-04 19:46 -------- d-------- C:\Programme\FRITZ!BoxPrint
2006-09-13 07:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-06 16:42 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"LaunchApp"="Alaunch"
"AGRSMMSG"="AGRSMMSG.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"AzMixerSel"="C:\\Programme\\Realtek\\InstallShield\\AzMixerSel.exe"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"PCMService"="\"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe\""
"ntiMUI"="C:\\Programme\\NewTech Infosystems\\NTI CD & DVD-Maker 7\\ntiMUI.exe"
@=""
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"eDataSecurity Loader"="C:\\Acer\\Empowering Technology\\eDataSecurity\\eDSloader.exe 0"
"Acer ePresentation HPD"="C:\\Acer\\Empowering Technology\\ePresentation\\ePresentation.exe"
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ePower_DMC"="C:\\Acer\\Empowering Technology\\ePower\\ePower_DMC.exe"
"Boot"="C:\\Acer\\Empowering Technology\\ePower\\Boot.exe"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\QtZgAcer.EXE"
"eRecoveryService"="C:\\Acer\\Empowering Technology\\eRecovery\\eRAgent.exe"
"LogitechCameraAssistant"="C:\\Programme\\Acer\\OrbiCam\\CameraAssistant.exe"
"LogitechVideo[inspector]"="C:\\Programme\\Acer\\OrbiCam\\InstallHelper.exe /inspect"
"LogitechCameraService(E)"="C:\\WINDOWS\\system32\\ElkCtrl.exe /automation"
"ImageItEncrypt"="C:\\WINDOWS\\system32\\ImageItEncrypt.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"RealTray"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,e1,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{f31aee4a-1530-4fef-8537-79c6973bff9a}"="gaonic"
"{588599f4-de26-4c28-ba14-f4eb17e33481}"="emptins"
"{af4fd984-a939-4c32-82b2-8bae7abe9aec}"="benumbment"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"gaonic"="{f31aee4a-1530-4fef-8537-79c6973bff9a}"
"emptins"="{588599f4-de26-4c28-ba14-f4eb17e33481}"
"benumbment"="{af4fd984-a939-4c32-82b2-8bae7abe9aec}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-30 11:23:29.21
C:\ComboFix2.txt ... 06-11-30 10:32
C:\ComboFix.txt ... 06-11-30 11:23


Hier nochmal ein Logfile. Ich weiß, ich habe komische webseiten besucht. Seid mir nicht böse.
Das Vieh muss weg.
Beste Grüße von andralex

CleanUp! started on 11/30/06 11:58:17.
...
C:\Dokumente und Einstellungen\andre\Cookies\andre@66.246.209[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@zoo-vids[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.enginessearch[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr[6].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.bestiality-movies[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.lamaporn[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.fantasyold[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.cheatwife[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@mb[7].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.animalsex[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.personalsadult[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@farmcumsluts[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@tugjobqueens[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@porn[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.papytgp[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@i[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr[21].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@bluestreak[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@movieland[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.bizchair[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@80386158[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@goclick[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@adultmatchheat[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.membershipsecure[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@landing.adultmatchheat[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.gamesonlinecasino[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.freshsperm[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.andrewlinks[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@hostingprod[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@store.yahoo[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.jungle6[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.zoomovies[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@yahoo[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@server.iad.liveperson[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@store.yahoo[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.cumhelp[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.grand-mothers[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.mature-post[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@shemale[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.x-ho[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@grannyfuck[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@galleries.familypornmovies[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@secretary[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.momgals[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr2[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@oxysearch[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.allofteens[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr2[4].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.dogsexlinks[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@livejasmin[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@entries[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@call-kelly[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.free-movies[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@crazyxxx3dworld[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@screenname.aol[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@enhance[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.advancedhunt[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@indianfriendfinder[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@cj[10].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.americanbeast[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@altbill[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@leopard.dirtychat[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@momson.incestpla[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.furrylove[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.baesse[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@brutal.familysex[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.xxxpower[4].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@34074431[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@galleries.sonmomfilm[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@zoomovies[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@cgi-bin[6].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@private.familysex[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@statistik-gallup[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@galls[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@paycounter[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.antispam[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.incestpla[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.freeincestporn[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@preisvergleich[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.dhl[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.rgsw.edu[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.deutschepost[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@uplink.space[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@praca.hrk[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.insane-orgy[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@hrk[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@int.adocean[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@hub.com[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@space[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.sweethotvideos[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@ehg-space.hitbox[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.lamalinks[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@click.nichepromotion[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.clickxchange[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.matureclipsonly[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr[17].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@linkstattrack[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@web-stat[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@adultfriendfinder[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@gtr2[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.crazy-moms[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.juliebeast[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@animaltrailers.gerelateerd[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.beastlovers[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@grannypornvids[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@fhg.best-sex-galleries[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@ggo[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@picsmama[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@amandalist[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@matureandboy[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@serviceswitching[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dogsex.you-like[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.fattyandbusty[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@adultbouncer[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.estate-casino[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@teens-girls[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@teensss[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@jabafun[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@st[33].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@counter7.sextracker[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.hotbbwvids[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@bannerswap[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dailygirlz[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.lifebeast[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@in[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@EX[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@67.19.85[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.lotsofpornmovies[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@go.drivecleaner[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.drivecleaner[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.animalpornvideos[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@34074432[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.animalvoyeur[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@realdrunkengirls[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.fuckfaster[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@skinvideo[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@animal-porn-movies[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.fetish-freak[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.zillamovies[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.vipermovies[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@animalsexfilez.animalsex-blog[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@pics.horny-animals[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.freegrannyvideos[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@real-zoo.madsexxx[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@myzoocollection.madsexxx[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.positioningsearch[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@animal-sex-library[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@servicessearchengine[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.homeloanparty[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.mature-lovers[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@counter15.sextracker[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.mom-son[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@crazymatures[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.mature-secret[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@st[34].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr[19].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.yobt[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr21[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr[13].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@wtfpeople[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.faz[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.bestmaturez[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr21[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@st[35].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.bestmaturez[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.auntmia[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.polen-tschechien-kontakt[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.call-kelly[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@gag[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.momspornvideo[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@counter4.sextracker[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.bizarresex[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@wojsko-polskie[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@hit.stat[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@prawoiekonomia[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@ad.stat.4u[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@promotor.home[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@korba[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@xgrandmas[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@html[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@adserv2.korba[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@games.icq[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.i-services[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@medienwerkstatt-online[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dcsdmb9458u1u6kuo0gpmor8x_3y2q[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@213.52.141[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@gmm[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@forumwns[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@atlas.bestpricetravel[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@karte-elfenbeinkuste-fotoobjekte[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@st[30].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.granny-post[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.mypixmania[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@stat.www[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@apmebf[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@artfiles[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@emjcd[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@ebay[6].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.zanox-affiliate[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.sowi.uni-mannheim[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@aerztezeitung[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@213.221.108[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@hit.gemius[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@tracking.quisma[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.medicaltrend[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@news.abidjan[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@fuckphent[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@webstat[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@click.zoopartners[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.pornoverview[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@dtr[22].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.oldestgrannies[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.freegonzo[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.mature-bitches[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@allporn365[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.moviesparade[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@jasara[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@searchgolden[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@1sexin18[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@pornaccess[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@webpower[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@counter8.sextracker[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@stats1.reliablestats[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.amateur-hard[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@jays-xxx-links[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.pichunter[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@msn.co[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@xxxcounter[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@xxxcreatures[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@st[36].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@gal137fert[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.101sexsecret[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@powertraf[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.best3xvids[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@adverserve[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@st[37].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@realguide.real[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@gpads.geniproj[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@programm.kurier[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@kurier[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@amazon[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@~~local~~[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@toplist[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@red-hot-moms[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@ccbill[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@counter5.sextracker[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@maturesensations[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@mochi.skinvideo[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@counter6.sextracker[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.virusbursters[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.greatdealspharmacy[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@counter9.sextracker[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@maturetalk[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.mature-lovers[3].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@xxxpower[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.oldestgrannies[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@pornpics-online[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.wonderfulmature[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@www.pleasure-casino[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@galleries.latin-shemales[1].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@fucking-grandmothers[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@latin-shemales[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@my-oh-my[2].txt - deleted
C:\Dokumente und Einstellungen\andre\Cookies\andre@statse.webtrendslive[2].txt - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\WINDOWS\Prefetch\CLCAPSVC.EXE-0EF512D9.pf - deleted
C:\WINDOWS\Prefetch\CLMLSERVER.EXE-330DEB4A.pf - deleted
C:\WINDOWS\Prefetch\CLMLSERVICE.EXE-34FB33E7.pf - deleted
C:\WINDOWS\Prefetch\LSSRVC.EXE-19C28141.pf - deleted
C:\WINDOWS\Prefetch\SCHED.EXE-35555958.pf - deleted
C:\WINDOWS\Prefetch\AVGUARD.EXE-081AFD34.pf - deleted
C:\WINDOWS\Prefetch\FRITZDSL.EXE-0BA1D97F.pf - deleted
C:\WINDOWS\Prefetch\IMAGEITENCRYPT.EXE-0C5AD45F.pf - deleted
C:\WINDOWS\Prefetch\REGSRVC.EXE-0AD6D6D2.pf - deleted
C:\WINDOWS\Prefetch\MEMCHECK.EXE-0A370B04.pf - deleted
C:\WINDOWS\Prefetch\ELKCTRL.EXE-0C71F1E7.pf - deleted
C:\WINDOWS\Prefetch\IGDCTRL.EXE-2CA4E893.pf - deleted
C:\WINDOWS\Prefetch\ALG.EXE-275708CF.pf - deleted
C:\WINDOWS\Prefetch\ALAUNCH.EXE-145B15F4.pf - deleted
C:\WINDOWS\Prefetch\WMIAPSRV.EXE-02740A4B.pf - deleted
C:\WINDOWS\Prefetch\ALCMTR.EXE-01A7139B.pf - deleted
C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted
C:\WINDOWS\Prefetch\USERINIT.EXE-0743FDA9.pf - deleted
C:\WINDOWS\Prefetch\RTHDCPL.EXE-005A6E31.pf - deleted
C:\WINDOWS\Prefetch\AZMIXERSEL.EXE-2F6E63FF.pf - deleted
C:\WINDOWS\Prefetch\SYNTPLPR.EXE-0544C4FA.pf - deleted
C:\WINDOWS\Prefetch\IGFXTRAY.EXE-0A23D403.pf - deleted
C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf - deleted
C:\WINDOWS\Prefetch\HKCMD.EXE-0F06AE14.pf - deleted
C:\WINDOWS\Prefetch\IGFXPERS.EXE-19DA7B04.pf - deleted
C:\WINDOWS\Prefetch\EDSLOADER.EXE-2A914953.pf - deleted
C:\WINDOWS\Prefetch\IGFXSRVC.EXE-1D88F978.pf - deleted
C:\WINDOWS\Prefetch\QTTASK.EXE-0C419446.pf - deleted
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-0D449B4F.pf - deleted
C:\WINDOWS\Prefetch\BOOT.EXE-358A5EE6.pf - deleted
C:\WINDOWS\Prefetch\EPOWER_DMC.EXE-0838B86A.pf - deleted
C:\WINDOWS\Prefetch\INSTALLHELPER.EXE-0FBDDF2B.pf - deleted
C:\WINDOWS\Prefetch\LVCOMSX.EXE-30FB8DC0.pf - deleted
C:\WINDOWS\Prefetch\QTZGACER.EXE-302AB200.pf - deleted
C:\WINDOWS\Prefetch\WINWORD.EXE-218A1AF8.pf - deleted
C:\WINDOWS\Prefetch\CAMERAASSISTANT.EXE-1BAB388A.pf - deleted
C:\WINDOWS\Prefetch\FBOXUPD.EXE-398805FD.pf - deleted
C:\WINDOWS\Prefetch\AVGNT.EXE-34DB0DF2.pf - deleted
C:\WINDOWS\Prefetch\VERCLSID.EXE-28F52AD2.pf - deleted
C:\WINDOWS\Prefetch\IMAPI.EXE-201490BB.pf - deleted
C:\WINDOWS\Prefetch\ADOBE GAMMA LOADER.EXE-0C2694E8.pf - deleted
C:\WINDOWS\Prefetch\INSTLSP.EXE-38B2CBEB.pf - deleted
C:\WINDOWS\Prefetch\FWEBPROT.EXE-2EA7A55E.pf - deleted
C:\WINDOWS\Prefetch\STCENTER.EXE-02BA116C.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-49B781D1.pf - deleted
C:\WINDOWS\Prefetch\RICHVIDEO.EXE-22863F01.pf - deleted
C:\WINDOWS\Prefetch\WDFMGR.EXE-22A3D9C5.pf - deleted
C:\WINDOWS\Prefetch\ERAGENT.EXE-0C495853.pf - deleted
C:\WINDOWS\Prefetch\WUAUCLT.EXE-1360D60A.pf - deleted
C:\WINDOWS\Prefetch\SYNTPENH.EXE-33F656F5.pf - deleted
C:\WINDOWS\Prefetch\BJPSMAIN.EXE-203873AD.pf - deleted
C:\WINDOWS\Prefetch\REALPLAY.EXE-03CE29F7.pf - deleted
C:\WINDOWS\Prefetch\CLSCHED.EXE-3412FBEF.pf - deleted
C:\WINDOWS\Prefetch\MSMSGS.EXE-1D037CD3.pf - deleted
C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-1979BB8B.pf - deleted
C:\WINDOWS\Prefetch\FXSSVC.EXE-140862E7.pf - deleted
C:\WINDOWS\Prefetch\NOTEPAD.EXE-2F2D61E1.pf - deleted
C:\WINDOWS\Prefetch\NIRCMD.EXE-07EC67F7.pf - deleted
C:\WINDOWS\Prefetch\CMD.EXE-034B0549.pf - deleted
C:\WINDOWS\Prefetch\FIND.EXE-0EEAD1A7.pf - deleted
C:\WINDOWS\Prefetch\IEXPLORE.EXE-360BBB5C.pf - deleted
C:\WINDOWS\Prefetch\SWREG.EXE-384D885B.pf - deleted
C:\WINDOWS\Prefetch\SWREG.EXE-0163B7DA.pf - deleted
C:\WINDOWS\Prefetch\REGEDIT.EXE-2AE3423E.pf - deleted
C:\WINDOWS\Prefetch\NIRCMD.EXE-23972F4A.pf - deleted
C:\WINDOWS\Prefetch\COMBOFIX.EXE-149D5C42.pf - deleted
C:\WINDOWS\Prefetch\FINDSTR.EXE-1A4FC238.pf - deleted
C:\WINDOWS\Prefetch\SWSC.EXE-0350ECDB.pf - deleted
C:\WINDOWS\Prefetch\CHCP.COM-17EDBDC9.pf - deleted
C:\WINDOWS\Prefetch\NIRCMD.EXE-2F68E642.pf - deleted
C:\WINDOWS\Prefetch\SWREG.EXE-166A747A.pf - deleted
C:\WINDOWS\Prefetch\SORT.EXE-19728AC5.pf - deleted
C:\WINDOWS\Prefetch\COMBOFIX.EXE-043BAAA0.pf - deleted
C:\WINDOWS\Prefetch\BLBETA[1].EXE-2216B33A.pf - deleted
C:\WINDOWS\Prefetch\IS-G8G18.TMP-10F8218F.pf - deleted
C:\WINDOWS\Prefetch\FIXWAREOUT[1].EXE-37495C91.pf - deleted
C:\WINDOWS\Prefetch\DOWNLOAD.EXE-3336CB91.pf - deleted
C:\WINDOWS\Prefetch\UNZIP.EXE-16761FDE.pf - deleted
C:\WINDOWS\Prefetch\BFU.EXE-0687DFEB.pf - deleted
C:\WINDOWS\Prefetch\EVTENG.EXE-06E52AC2.pf - deleted
C:\WINDOWS\Prefetch\WINREG.EXE-2B892322.pf - deleted
C:\WINDOWS\Prefetch\CSCRIPT.EXE-0A13A05C.pf - deleted
C:\WINDOWS\Prefetch\RUNDLL32.EXE-65EE0D2F.pf - deleted
C:\WINDOWS\Prefetch\NTVDM.EXE-0A81AB7B.pf - deleted
C:\WINDOWS\Prefetch\PCMSERVICE.EXE-384B5F7A.pf - deleted
C:\WINDOWS\Prefetch\NIRCMD.EXE-14A85EC4.pf - deleted
C:\WINDOWS\Prefetch\SWREG.EXE-3563D230.pf - deleted
C:\WINDOWS\Prefetch\COMBOFIX[1].EXE-1D8E700C.pf - deleted
C:\WINDOWS\Prefetch\COMBOFIX[1].EXE-24217BC2.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP452[1].EXE-2A52672B.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP.EXE-2D54794D.pf - deleted
C:\WINDOWS\Prefetch\AVSCAN.EXE-1702C14B.pf - deleted
C:\WINDOWS\Prefetch\Layout.ini - deleted
C:\WINDOWS\Prefetch\LOGONUI.EXE-312BE1BF.pf - deleted
C:\WINDOWS\Prefetch\CSRSS.EXE-22452D1B.pf - deleted
C:\WINDOWS\Prefetch\WINLOGON.EXE-0957F9B2.pf - deleted
C:\WINDOWS\Prefetch\SERVICES.EXE-3019B50A.pf - deleted
C:\WINDOWS\Prefetch\LSASS.EXE-306A65C3.pf - deleted
C:\WINDOWS\Prefetch\ATI2EVXX.EXE-07A42849.pf - deleted
C:\WINDOWS\Prefetch\SVCHOST.EXE-2D5FBD18.pf - deleted
C:\WINDOWS\Prefetch\EXPLORER.EXE-02121B1A.pf - deleted
C:\WINDOWS\Prefetch\AGRSMMSG.EXE-071EDC2A.pf - deleted
C:\WINDOWS\Prefetch\CLI.EXE-124F2D43.pf - deleted
C:\WINDOWS\Prefetch\UNSECAPP.EXE-16EB9856.pf - deleted
C:\WINDOWS\Prefetch\CTFMON.EXE-05E57A5E.pf - deleted
C:\WINDOWS\Prefetch\AUTOCHK.EXE-324828AC.pf - deleted
C:\WINDOWS\Prefetch\SMSS.EXE-22CBE0EE.pf - deleted
'Run MRU' list - removed from the registry.
'Doc Find Spec MRU' list - removed from the registry.
'FindComputerMRU' list - removed from the registry.
'ComputerNameMRU' list - removed from the registry.
'ContainingTextMRU' list - removed from the registry.
'FilesNamedMRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
Windows Media Player Recent File List - removed from the registry.
WinZip Extract MRU list - removed from the registry.
WinZip File MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 732.6 MB of disk space from 15095 files.
CleanUp! finished on 11/30/06 12:01:14.



Hoffentlich wird das Ding gesäubert.

andralex
__________
Beste Grüße von andralex

#6 andralex

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|benumbment
HKLM\software\microsoft\windows\currentversion\SharedTaskScheduler|{af4fd984-a939-4c32-82b2-8bae7abe9aec}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|expatriates
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{1a01a98c-4f25-42e1-971a-185cf63569b2}
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad|gaonic
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{f31aee4a-1530-4fef-8537-79c6973bff9a}

registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{af4fd984-a939-4c32-82b2-8bae7abe9aec}
HKLM\SOFTWARE\Classes\CLSID\{1a01a98c-4f25-42e1-971a-185cf63569b2}
HKLM\SOFTWARE\Classes\CLSID\{f31aee4a-1530-4fef-8537-79c6973bff9a}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F83E8F99-AE49-45D6-92B4-59854BF0A759}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C97C3B7C-E022-4FA8-B1A7-1C28270FFAFF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\virus-bursters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virus-Bursters
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Virus-Bursters
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Silver Codec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}

Files to delete:
C:\WINDOWS\system32\tpedvf.dll
C:\WINDOWS\system32\dbqlrij.dll
C:\WINDOWS\system32\xxfgmy.dll
C:\WINDOWS\system32\tazth.dll
C:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url

Folders to delete:
C:\Programme\Virus-Bursters
C:\Programme\Silver Codec
C:\Programme\iVideoCodec

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{74894B6A-ADF8-48BE-9F2E-B1BB802357FE}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B6F457B-ECFD-4A24-855A-BC2F3AEBB434}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BA6583A-D7C2-4879-9A35-32904044FEEC}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8DF4F4A-6CCF-43E9-B699-60F7074A2006}: NameServer = 85.255.114.110,85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.110 85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.110 85.255.112.170

PC neustarten

**
scanne und poste den scanreport + das neue log vom HijackThis
http://virus-protect.org/ewido.html

____________

die internetverbindung geht im moment zu :85.255.114.110

Domain Name: INHOSTER.COM
Registrar: ESTDOMAINS, INC.

Registrant:
Inhoster Inc.
Andrei Kislizin
Lenina str. 23/95
Odessa
,54302
----------------
Internetverbindung muss die Zugangsdaten des Providers haben. Bei Netzwerk/Eigenschaften des Internetprotokolls steht denn auch IP und DNS automatisch beziehen - anhaken

1. Click Start > Control Panel
2. Double-click Network Connections. - 85.255.114.110,85.255.112.170 - muss raus !
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina,
ich kann es nicht glauben, die 2 blinkenden Minen und Warnungen von Virusbursters sind weg Danke

Danach funktioniert das Internet auch nicht mehr. Deswegen konnte ich Dir kein Logfile schicken, habe deine Anweisungen gefolgt und AVENGER runtergeladen, auf CD gebrannt und auf mein PC laufen lassen, wie in deiner Anweisung. Danach hat das Internet nicht mehr funktioniert. Ich versuchte, ein neues INTERNET EXPLORER- PROGRAMM zu installieren, was meinst du?
Danach kann ich die Säuberung fortsetzen.

Beste Grüße aus Mannheim
andralex
__________
Beste Grüße von andralex

#8 Arbeitsplatz|Systemsteuerung|Netzwerk

Eigenschaften von TCP/IP, Register Allgemein, Option IP-Adresse automatisch beziehen - anhaken

dann versuche wieder ins net zu kommen und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi! Du kluger Kopf ,
bin gerade im PC-room an der Uni. Ich berichte gleich, wenn ich zu Hause bin.

Beste Grüße
andralex
__________
Beste Grüße von andralex

#10 ich hoffe , es klappt - wenn nicht, habe ich noch andere tricks auf lager
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina,
hier das Logfile von Avenger. Was meinst du, ist mein PC jetzt sauber? ich mache jedenfalls mit smitfraudfix und HijackThis weiter, schicke Dir die reports.
Meine Internetverbindung ist auch wieder hergestellt .
Respekt, Respekt.
Nochmals vielen Dank.
Ich melde mich wieder.
Beste Grüße
andralex

Edit (Sabina)

Hi du kluger Kopf
hier ein report. A propos, mein Bildschirm wurde nicht blau. ich denke, die wininet.dll bei mir ist nicht infiziert oder?
Beste Grüße von andralex aus Mannheim

SmitFraudFix v2.126

Scan done at 18:30:18,35, 01.12.2006
Run from C:\Dokumente und Einstellungen\alex\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{588599f4-de26-4c28-ba14-f4eb17e33481}"="emptins"

[HKEY_CLASSES_ROOT\CLSID\{588599f4-de26-4c28-ba14-f4eb17e33481}\InProcServer32]
@="C:\WINDOWS\system32\xxfgmy.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{588599f4-de26-4c28-ba14-f4eb17e33481}\InProcServer32]
@="C:\WINDOWS\system32\xxfgmy.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{af4fd984-a939-4c32-82b2-8bae7abe9aec}"="benumbment"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Programme\TrueCodec\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Hi Sabina , ich sehe du bist online. Wie gehts dir? Mir gehts saugut. Vielen vielen Dank

Hier ein report

Beste Grüße von andralex

Logfile of HijackThis v1.99.1
Scan saved at 19:26:31, on 01.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\alex\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis[1].zip\HijackThis.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Acer\Acer Arcade\Kernel\TV\CLSched.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
__________
Beste Grüße von andralex

#12

bringe den Guard vom Antivirus wieder in den Autostart
**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 aber wie?

Gruß von andralex
__________
Beste Grüße von andralex

#14 das kann man im Menue vom Antivirus so einstellen - findest du es ?

Guard

__________
MfG Sabina

rund um die PC-Sicherheit

#15 habe rein geschaut, er ist so eingestellt, dass er alle 24 Std eine Systemprüfung durchführt, normalerweise. eben habe ich ein update durchgeführt.
Jetzt steht: Letztes update. 01.12.2006

MfG von andralex
__________
Beste Grüße von andralex