TR/RKit.Nuclear.0.A eingefangen was nun? |
||
|---|---|---|
| #0
| ||
|
01.12.2006, 19:04
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
01.12.2006, 20:47
Ehrenmitglied
 Beiträge: 29434 |
#2
1.
Erstellen eines Hijackthis-Logfiles http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner --> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" 2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.12.2006, 13:44
...neu hier
Themenstarter Beiträge: 6 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 13:42:29, on 01.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\regedit.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Harald\Desktop\Hijack This\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus Pro 2006\winpgi.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {CEA3052D-65B9-44E2-A501-5E14024BC66F} (TricksterActiveX Control) - http://www.tricksteronline.com/control/tricksterActiveX.cab O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.tricksteronline.com/control/KALogoutComponent.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) |
|
|
|
|
|
|
02.12.2006, 15:22
Ehrenmitglied
Beiträge: 29434 |
#4
RHarald
im Grunde, empfehle ich , das System neu aufzusetzen - der rechner ist mir viren und backdoors verseucht - dann hast du auch das faketool WinAntiVirus Pro 2006 geladen - zerstoert den rechner und bringt die viren gleich mit...und das vom Rechner zu entfernen ist ebenfalls sehr kompliziert.......... dann hat auch jemand im Moment zugriff auf deinen Rechner, kann also alles mitverfolgen, was du tust, wo du surfst, sieht deine Passworte und was du schreibst ...  wenn du dennoch eine reinigung versuchen willst, musst du alles abarbeiten: 2. Folgen den Anweisungen unter http://virus-protect.org/cleanup.html und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht) 3. combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten http://virus-protect.org/artikel/tools/combofix.html 4. Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.12.2006, 16:42
...neu hier
Themenstarter Beiträge: 6 |
#5
Hätte eine Frage wie kann das Antiwir Falsch sein. Mein Onkel hat als er meinen Pc neu Formatiert hat so eine Absicherungs datei gemacht. Kann ich die Anwenden?
Ist dann alles wiede Normal? |
|
|
|
|
|
|
02.12.2006, 16:53
Ehrenmitglied
Beiträge: 29434 |
#6
du meinste ein backup ? weisst du, wie man das anwendet ?
o.k. - wende es an und poste das neue log vom HijackThis, ich sehe dann, ob alles i.o. ist  __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
02.12.2006, 18:27
...neu hier
Themenstarter Beiträge: 6 |
#7
So Habe das Backup angewendet das ist gekommen. Hoffe das alles wieder Normal ist:
Logfile of HijackThis v1.99.1 Scan saved at 16:25:54, on 01.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\Harald\LOKALE~1\Temp\Rar$EX00.187\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
|
|
|
|
|
02.12.2006, 20:08
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
03.12.2006, 16:23
...neu hier
Themenstarter Beiträge: 6 |
#9
Hätte noch eine Frage wo kann ich das Antiwir runterladen . Das ich nicht wieder die Falsche Verion bekomme?
|
|
|
|
|
|
|
03.12.2006, 16:42
Ehrenmitglied
Beiträge: 29434 |
#10
du hast den antivirus doch drauf ...jedenfalls sehe ich ihn im HijackThis..........
wenn auf meiner Seite eine falsche version sein sollte - grrrrrrrr  http://virus-protect.org/antivirus.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
03.12.2006, 16:48
...neu hier
Themenstarter Beiträge: 6 |
#11
Ja ich habe einen doch die Lizens ist abgelaufen. Du weist schon wegen Backup ....
|
|
|
|
|
|
|
14.02.2007, 00:04
Ehrenmitglied
Beiträge: 29434 |
#12
BlackPearl
1. poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" Zitat O2 - BHO: (no name) - {1927341C-99F7-7A96-E898-12F3E58CBFD7} - (no file)2. anwenden - poste hier den scanreport nach neustart http://virus-protect.org/artikel/tools/fixwareout.html 3. Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to delete:«««««««««««««« 4. http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, 5. poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.02.2007, 14:56
Ehrenmitglied
Beiträge: 29434 |
#13
1.
poste dieses log http://virus-protect.org/artikel/tools/combofix.html 2. anwenden - poste hier den scanreport nach neustart http://virus-protect.org/artikel/tools/fixwareout.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.02.2007, 17:11
Ehrenmitglied
Beiträge: 29434 |
#14
du arbeitest nicht korrekt - erst mal hast du das avengerscript nicht abgearbeitet, denn die plugin1.dat ist immer noch auf dem rechner ;(
dann hast du das log von combofix nicht komplett abkopiert. so kann ich nicht arbeiten beginne also, alles so zu machen, damit ich dir helfen kann........... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
14.02.2007, 19:53
...neu hier
Beiträge: 8 |
#15
1. log combofix:
"Ghost" - 07-02-14 18:45:11 Service Pack 2 ComboFix 07-02-11 - Running from: "C:\Dokumente und Einstellungen\Ghost\Desktop" ((((((((((((((((((((((((((((((( Files Created from 2007-01-14 to 2007-02-14 )))))))))))))))))))))))))))))))))) 2007-02-14 18:14 <DIR> d-------- C:\SDFix 2007-02-14 18:08 <DIR> d-------- C:\avenger 2007-02-14 14:35 <DIR> d-------- C:\WINDOWS\CAVTemp 2007-02-14 14:28 <DIR> d-------- C:\fixwareout 2007-02-14 14:22 1,021,504 --a------ C:\WINDOWS\system32\vete.dll 2007-02-14 00:36 <DIR> d-------- C:\WINDOWS\Prefetch 2007-02-14 00:20 17,584 --a------ C:\WINDOWS\WSSPORD.DAT 2007-02-14 00:13 7,890 --a------ C:\WINDOWS\system32\eInstall.dat 2007-02-14 00:09 153,712 --a------ C:\WINDOWS\winsbak2.reg 2007-02-14 00:09 12,946 --a------ C:\WINDOWS\winsbak.reg 2007-02-14 00:09 <DIR> d-------- C:\PUB 2007-02-14 00:08 950,272 --a------ C:\WINDOWS\system32\contfilt.dll 2007-02-14 00:08 9,488 --a------ C:\WINDOWS\sporder.dll 2007-02-14 00:08 7,680 --a------ C:\WINDOWS\sporder.exe 2007-02-14 00:08 508,928 --a------ C:\WINDOWS\system32\eInstall.exe 2007-02-14 00:08 41,984 --a------ C:\WINDOWS\killproc.exe 2007-02-14 00:08 40,448 --a------ C:\WINDOWS\inst_tsp.exe 2007-02-14 00:08 339,968 --a------ C:\WINDOWS\system32\mwtsp.dll 2007-02-14 00:08 32,768 --a------ C:\WINDOWS\system32\esmxlog.dll 2007-02-14 00:08 153,600 --a------ C:\WINDOWS\R.COM 2007-02-14 00:08 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-02-14 00:08 138,000 --a------ C:\WINDOWS\system32\drivers\klif108.sys 2007-02-14 00:08 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL 2007-02-14 00:08 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL 2007-02-14 00:08 118,784 --a------ C:\WINDOWS\system32\mwnsp.dll 2007-02-14 00:08 117,008 --a------ C:\WINDOWS\system32\drivers\klif50.sys 2007-02-14 00:08 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE 2007-02-14 00:08 <DIR> d-------- C:\WINDOWS\system32\ES_SETUP 2007-02-14 00:08 <DIR> d-------- C:\Programme\SPYWAREfighter 2007-02-14 00:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld 2007-02-14 00:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application 2007-02-14 00:08 <DIR> d-------- C:\Programme\eScan 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Vorlagen 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Startmen 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Favoriten 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Dokumente 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Anwendungsdaten 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Vorlagen 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Favoriten 2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Dokumente 2007-02-14 00:08 <DIR> d-------- C:\AVPDOS 2007-02-13 23:57 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-02-13 23:57 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-02-13 23:57 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-02-13 23:16 <DIR> d-------- C:\WINDOWS\ERDNT 2007-02-13 13:04 <DIR> d-------- C:\Programme\Avira 2007-02-11 14:31 28,672 --a------ C:\WINDOWS\system32\f3PSSavr.scr 2007-02-09 18:47 <DIR> d-------- C:\Programme\Ratajik Software 2007-02-04 14:09 72,192 --a------ C:\WINDOWS\unlite3.exe 2007-02-04 14:09 <DIR> d-------- C:\Programme\Bradbury 2007-01-31 16:47 <DIR> d-------- C:\DOKUME~1\Ghost\Anwendungsdaten\ICQ Toolbar 2007-01-30 22:25 <DIR> d-------- C:\Programme\ICQToolbar 2007-01-30 22:25 <DIR> d-------- C:\Programme\ICQLite1 2007-01-28 18:52 <DIR> d-------- C:\Programme\Pool 'm Up 2007-01-22 17:23 <DIR> d-------- C:\Programme\Microsoft SQL Server 2007-01-22 17:09 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8 2007-01-22 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Merge Modules 2007-01-22 17:09 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Microsoft Help 2007-01-21 15:13 <DIR> d-------- C:\Programme\Sir Henry 2007-01-19 12:53 51,056 --a------ C:\WINDOWS\system32\sirenacm.dll (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-02-14 18:43 -------- d-------- C:\Programme\mozilla firefox 2007-02-14 17:43 -------- d-------- C:\Programme\mozilla thunderbird 2007-02-14 15:05 -------- d-------- C:\Programme\fritz!dsl 2007-02-14 14:21 645904 --a------ C:\WINDOWS\system32\drivers\vetmonnt.sys 2007-02-14 14:21 115088 --a------ C:\WINDOWS\system32\drivers\vetfddnt.sys 2007-02-13 12:42 -------- d-------- C:\Programme\antivir personaledition classic 2007-02-12 22:38 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\azureus 2007-02-12 19:21 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\adobeum 2007-02-09 16:17 98304 --a------ C:\WINDOWS\system32\cmdlineext.dll 2007-02-08 15:12 -------- d--h----- C:\Programme\installshield installation information 2007-02-08 14:46 -------- d-------- C:\Programme\azureus 2007-02-03 00:01 -------- d-------- C:\Programme\msn messenger 2007-01-31 16:47 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\icq toolbar 2007-01-30 16:46 -------- d-------- C:\Programme\opera 2007-01-30 16:41 11194 --a------ C:\WINDOWS\mozver.dat 2007-01-28 23:33 -------- d-------- C:\Programme\sysobjectsex 2007-01-28 23:29 -------- d-------- C:\Programme\tes_map 2007-01-28 23:25 -------- d-------- C:\Programme\tuneup utilities 2006 2007-01-22 17:29 -------- d---s---- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\microsoft 2007-01-22 17:26 539670 --a------ C:\WINDOWS\system32\perfh007.dat 2007-01-22 17:26 120006 --a------ C:\WINDOWS\system32\perfc007.dat 2007-01-22 17:24 -------- d-------- C:\Programme\microsoft.net 2007-01-21 15:12 -------- d-------- C:\Programme\java 2007-01-15 22:47 -------- d-------- C:\Programme\intelore 2007-01-13 03:12 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fritz! 2007-01-07 16:48 -------- d-------- C:\Programme\Gemeinsame Dateien\avm 2007-01-05 15:26 -------- d-------- C:\Programme\winamp 2007-01-04 01:47 -------- d-------- C:\Programme\abc-ware 2006-12-27 22:04 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\slysoft 2006-12-27 21:56 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys 2006-12-27 21:56 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys 2006-12-27 21:55 -------- d-------- C:\Programme\slysoft 2006-12-26 21:43 35144 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys 2006-12-26 21:43 15440 --a------ C:\WINDOWS\system32\drivers\ElbyCDIO.sys 2006-12-26 21:43 11984 --a------ C:\WINDOWS\system32\drivers\RegKill.sys 2006-12-26 13:54 34760 --a------ C:\WINDOWS\system32\drivers\ElbyCDFL.sys 2006-12-21 15:21 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\media player classic 2006-12-19 20:57 -------- d-------- C:\Programme\Gemeinsame Dateien\agnitum shared 2006-12-16 16:15 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\smartftp 2006-12-16 16:06 -------- d-------- C:\Programme\smartftp client 2.0 setup files 2006-12-16 16:06 -------- d-------- C:\Programme\smartftp client 2.0 2006-12-16 15:05 67 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\nero_photoshow_express_4_eu_row.txt 2006-12-16 15:05 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\simple star 2006-12-16 15:05 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\nero 2006-12-16 14:52 -------- d-------- C:\Programme\Gemeinsame Dateien\nero 2006-12-16 14:51 -------- d-------- C:\Programme\nero 2006-12-16 14:51 -------- d-------- C:\Programme\Gemeinsame Dateien\ahead 2006-12-16 14:45 -------- d-------- C:\Programme\Gemeinsame Dateien\simple star shared 2006-12-16 14:03 -------- d-------- C:\Programme\Gemeinsame Dateien\logitech 2006-12-16 14:02 -------- d-------- C:\Programme\media player classic 2006-12-16 14:01 -------- d-------- C:\Programme\trillian 2006-12-16 01:28 113 --a-s---- C:\WINDOWS\test.bat 2006-12-16 01:10 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2006-12-16 01:10 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys 2006-12-14 21:51 -------- d-------- C:\Programme\audio tagging tools 2006-12-13 21:24 89296 --a------ C:\WINDOWS\system32\elbycdio.dll 2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-11-26 12:57 335 --a------ C:\WINDOWS\nsreg.dat 2006-11-20 19:51 94080 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\ezplay.sys 2006-11-20 19:51 81920 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\ezpinst.exe 2006-11-20 19:51 7176 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.cat 2006-11-20 19:51 7172 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\ezplay.cat 2006-11-20 19:51 47360 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.sys 2006-11-20 19:51 34 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.log 2006-11-20 19:51 34 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fyuxxgmx.log 2006-11-20 19:51 125 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fyuxxgmx.ini 2006-11-20 19:51 1144 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.inf 2006-11-20 19:51 1104 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fyuxxgmx.inf 2006-11-18 13:59 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "SoundMan"="SOUNDMAN.EXE" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ASUS Probe"="C:\\Program Files\\ASUS\\Asus Probe\\AsusProb.exe" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\"" "spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spftray.exe" @="C:\\WINDOWS\\scvhost.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "Ptipbmf"="rundll32.exe ptipbmf.dll,SetWriteCacheMode" "SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Pinnacle Scheduler.lnk] "backup"="C:\\WINDOWS\\pss\\Pinnacle Scheduler.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\Pinnacle\\SHARED~1\\Programs\\SCHEDU~1\\PCLESC~1.EXE " "item"="Pinnacle Scheduler" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk] "backup"="C:\\WINDOWS\\pss\\VIA RAID TOOL.lnkCommon Startup" "location"="Common Startup" "command"="C:\\PROGRA~1\\VIA\\RAID\\RAID_T~1.EXE " "item"="VIA RAID TOOL" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Ghost^Startmenü^Programme^Autostart^Xfire.lnk] "backup"="C:\\WINDOWS\\pss\\Xfire.lnkStartup" "location"="Startup" "item"="Xfire" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKLM" "inimapping"="0" "command"="" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGEIA PhysX SysTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TrayIcon" "hkey"="HKLM" "command"="C:\\Programme\\AGEIA Technologies\\TrayIcon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntiVir] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="scvhost" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AsusProb" "hkey"="HKLM" "command"="C:\\Program Files\\ASUS\\Asus Probe\\AsusProb.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="cli" "hkey"="HKLM" "command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="atiptaxx" "hkey"="HKLM" "command"="atiptaxx.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Babylon" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Barricade-Monitor] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="BarrMon" "hkey"="HKCU" "command"="C:\\WINDOWS\\BarrMon.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="BearShare" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NMBgMonitor" "hkey"="HKCU" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Blue Frog] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="bluefrog" "hkey"="HKCU" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="CloneCDTray" "hkey"="HKLM" "command"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative Detector] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="CTDetect" "hkey"="HKCU" "command"="C:\\Programme\\Creative\\MediaSource\\Detector\\CTDetect.exe /R" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="daemon" "hkey"="HKLM" "command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Core" "hkey"="HKCU" "command"="C:\\Programme\\Electronic Arts\\EA Link\\Core.exe -silent" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eScan Monitor] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="AVPMWrap" "hkey"="HKLM" "command"="C:\\PROGRA~1\\eScan\\AVPMWrap.EXE" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eScan Updater] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TRAYICOS" "hkey"="HKLM" "command"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE /App" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="iTunesHelper" "hkey"="HKLM" "command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Language" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ManifestEngine" "hkey"="HKCU" "command"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="ISStart" "hkey"="HKLM" "command"="C:\\Programme\\Logitech\\Video\\ISStart.exe " "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LogiTray" "hkey"="HKLM" "command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LVCOMSX" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MailScan Dispatcher] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="LAUNCH" "hkey"="HKLM" "command"="\"C:\\Programme\\eScan\\LAUNCH.EXE\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="MsgPlus" "hkey"="HKLM" "command"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msconfig] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="scvhost" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="msmsgs" "hkey"="HKCU" "command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mstss] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mstss" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nero PhotoShow Media Manager] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="mssysmgr" "hkey"="HKCU" "command"="C:\\PROGRA~1\\Nero\\NEROPH~1\\data\\Xtras\\mssysmgr.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="NeroCheck" "hkey"="HKLM" "command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="nod32kui" "hkey"="HKLM" "command"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nurb Hole] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="THAT MEMO" "hkey"="HKCU" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OutpostFeedBack] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="feedback" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\outpost_uninst] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="_uninstop" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCCClient.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PCCClient" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pccguide.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="pccguide" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pop3trap.exe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="Pop3trap" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PopUpKiller & DialerDetector] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PopUpKiller" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="qttask" "hkey"="HKLM" "command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="" "hkey"="HKLM" "command"="" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="PDVDServ" "hkey"="HKLM" "command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\slowmeettrustname] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="vga tool" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spamihilator] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="spamihilator" "hkey"="HKCU" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="spftray" "hkey"="HKLM" "command"="C:\\Programme\\SPYWAREfighter\\spftray.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\startkey] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="nirvana" "hkey"="HKCU" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="jusched" "hkey"="HKLM" "command"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TerraTec Remote Control] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="TTTVRC" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\TerraTec\\Remote\\TTTVRC.exe\"" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="realsched" "hkey"="HKLM" "command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update Checker] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="scvhost" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualDVR] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="VirtualDVR" "hkey"="HKCU" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="winampa" "hkey"="HKLM" "command"="C:\\Programme\\Winamp\\winampa.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="scv" "hkey"="HKLM" "command"="C:\\WINDOWS\\scv.exe" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Update] "key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run" "item"="scvhost" "hkey"="HKLM" "inimapping"="0" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPodService"=dword:00000003 "IDriverT"=dword:00000003 "ATI Smart"=dword:00000002 "Ati HotKey Poller"=dword:00000002 "MDM"=dword:00000002 "PCCPFW"=dword:00000003 "ose"=dword:00000003 "TUWinStylerThemeSvc"=dword:00000003 "RichVideo"=dword:00000002 "UleadBurningHelper"=dword:00000002 "StarWindService"=dword:00000002 "Creative Service for CDROM Access"=dword:00000002 "iPod Service"=dword:00000003 "OutpostFirewall"=dword:00000002 "MSSQL$SQLEXPRESS"=dword:00000002 "SQLWriter"=dword:00000003 "usnjsvc"=dword:00000003 "SPYWAREfighterRP"=dword:00000003 "MWAgent"=dword:00000002 "KAVMonitorService"=dword:00000002 "eScan-trayicos"=dword:00000002 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"="0" "SynchronousMachineGroupPolicy"=dword:00000000 "SynchronousUserGroupPolicy"=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ClearRecentDocsOnExit"=dword:00000001 "NoStrCmpLogical"=dword:00000001 "GreyMSIAds"=dword:00000001 "NoRecentDocsHistory"=dword:00000001 "NoUserNameInStartMenu"=dword:00000001 "NoSharedDocuments"=hex:00,00,00,00 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 tapisrv REG_MULTI_SZ Tapisrv\0\0 HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs* UxTuneUp Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\1-Klick-Wartung.job ******************************************************************** catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006 http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-02-14 18:50:39 C:\ComboFix2.txt ... 07-02-14 17:59 C:\ComboFix3.txt ... 07-02-14 15:16 2.report.text Fixwareout Last edited 2/11/2007 Post this report in the forums please ... »»»»»Prerun check »»»»» System restarted »»»»» Postrun check HKLM\SOFTWARE\~\Winlogon\ "system"="" .... .... »»»»» Misc files. .... »»»»» Checking for older varients. .... Search five digit cs, dm, kd, jb, other, files. The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. Click browse, find the file then click submit. http://www.virustotal.com/flash/index_en.html Or http://virusscan.Jotti.org/ »»»»» Other »»»»» Current runs [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "ASUS Probe"="C:\\Program Files\\ASUS\\Asus Probe\\AsusProb.exe" "DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\"" "spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spftray.exe" @="C:\\WINDOWS\\scvhost.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background" "SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe" .... Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»» 3. Logfile of HijackThis v1.99.1 Scan saved at 19:50:06, on 14.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\ASUS\Asus Probe\AsusProb.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\SPYWAREfighter\spftray.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\SPYWAREfighter\spfprc.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE E:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://offers.whenu.com/installed.html?app=whenusave&ptr=EEPE1205010001&pds=BearShare&toi=20060421145139 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1927341C-99F7-7A96-E898-12F3E58CBFD7} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: (no name) - {7632ABCA-B104-4fbc-9C70-419C41470619} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {BBB193E6-5BBE-8C15-C2C4-CA830AB5A2A4} - (no file) O2 - BHO: (no name) - {D5EFDB0E-4F51-414F-B740-54A5C87A8957} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O4 - User Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite1\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite1\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3F21AA2D-C51D-4260-9D9E-34F17D2DE293} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3F21AA2D-C51D-4260-9D9E-34F17D2DE293} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{8CAE3DCE-80A0-432A-AAD3-90296CD88586}: NameServer = 192.168.122.252,192.168.122.253 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe so ich habe jetzt diese ersten 5 punkte abgearbeitet ich hoffe es ist alles drinne |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Mich hat jemand reingelegt. Er hat mir eine Datei geschickt die mit dem troyaner TR/RKit.Nuclear.0.A versehen war. Er hat dann so ein MSN ..... Fenster aufgemacht und hat mir sachen geschrieben. er wusste auch meine Passwörter die ich heute eingeben hatte. Was nun. Wie bekomme ich den Troynaner weg??
Bitte Helft mir.