TR/RKit.Nuclear.0.A eingefangen was nun?

#0
01.12.2006, 19:04
...neu hier

Beiträge: 6
#1 Hallo.

Mich hat jemand reingelegt. Er hat mir eine Datei geschickt die mit dem troyaner TR/RKit.Nuclear.0.A versehen war. Er hat dann so ein MSN ..... Fenster aufgemacht und hat mir sachen geschrieben. er wusste auch meine Passwörter die ich heute eingeben hatte. Was nun. Wie bekomme ich den Troynaner weg??
Bitte Helft mir.
Seitenanfang Seitenende
01.12.2006, 20:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.12.2006, 13:44
...neu hier

Themenstarter

Beiträge: 6
#3 Logfile of HijackThis v1.99.1
Scan saved at 13:42:29, on 01.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\regedit.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Harald\Desktop\Hijack This\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe scvhost.exe
F3 - REG:win.ini: run=C:\WINDOWS\scvhost.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus Pro 2006\winpgi.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\scvhost.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Download Using &BitSpirit - C:\Programme\BitSpirit\bsurl.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {CEA3052D-65B9-44E2-A501-5E14024BC66F} (TricksterActiveX Control) - http://www.tricksteronline.com/control/tricksterActiveX.cab
O16 - DPF: {D88C7675-7CEE-4C9A-BDD4-7A43EED7794D} (Logout Class) - http://www.tricksteronline.com/control/KALogoutComponent.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Seitenanfang Seitenende
02.12.2006, 15:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 RHarald

im Grunde, empfehle ich , das System neu aufzusetzen - der rechner ist mir viren und backdoors verseucht - dann hast du auch das faketool WinAntiVirus Pro 2006
geladen - zerstoert den rechner und bringt die viren gleich mit...und das vom Rechner zu entfernen ist ebenfalls sehr kompliziert.......... dann hat auch jemand im Moment zugriff auf deinen Rechner, kann also alles mitverfolgen, was du tust, wo du surfst, sieht deine Passworte und was du schreibst ... ;)

wenn du dennoch eine reinigung versuchen willst, musst du alles abarbeiten:

2.
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

3.
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.12.2006, 16:42
...neu hier

Themenstarter

Beiträge: 6
#5 Hätte eine Frage wie kann das Antiwir Falsch sein. Mein Onkel hat als er meinen Pc neu Formatiert hat so eine Absicherungs datei gemacht. Kann ich die Anwenden?
Ist dann alles wiede Normal?
Seitenanfang Seitenende
02.12.2006, 16:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 du meinste ein backup ? weisst du, wie man das anwendet ?
o.k. - wende es an und poste das neue log vom HijackThis, ich sehe dann, ob alles i.o. ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.12.2006, 18:27
...neu hier

Themenstarter

Beiträge: 6
#7 So Habe das Backup angewendet das ist gekommen. Hoffe das alles wieder Normal ist:

Logfile of HijackThis v1.99.1
Scan saved at 16:25:54, on 01.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\rundll32.exe
C:\DOKUME~1\Harald\LOKALE~1\Temp\Rar$EX00.187\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Seitenanfang Seitenende
02.12.2006, 20:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 so ein sauberes Log sieht man hier selten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2006, 16:23
...neu hier

Themenstarter

Beiträge: 6
#9 Hätte noch eine Frage wo kann ich das Antiwir runterladen . Das ich nicht wieder die Falsche Verion bekomme?
Seitenanfang Seitenende
03.12.2006, 16:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 du hast den antivirus doch drauf ...jedenfalls sehe ich ihn im HijackThis..........
wenn auf meiner Seite eine falsche version sein sollte - grrrrrrrr ;)
http://virus-protect.org/antivirus.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.12.2006, 16:48
...neu hier

Themenstarter

Beiträge: 6
#11 Ja ich habe einen doch die Lizens ist abgelaufen. Du weist schon wegen Backup ....
Seitenanfang Seitenende
14.02.2007, 00:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 BlackPearl

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O2 - BHO: (no name) - {1927341C-99F7-7A96-E898-12F3E58CBFD7} - (no file)
O2 - BHO: (no name) - {7632ABCA-B104-4fbc-9C70-419C41470619} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {BBB193E6-5BBE-8C15-C2C4-CA830AB5A2A4} - (no file)
O2 - BHO: SysMon Class - {D5EFDB0E-4F51-414F-B740-54A5C87A8957} - (no file)

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\scv.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{8C845B90-6447-477E-A02B-AA1841F56F86}: NameServer = 85.255.113.115,85.255.112.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.115 85.255.112.12

2.
anwenden - poste hier den scanreport nach neustart
http://virus-protect.org/artikel/tools/fixwareout.html

3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\scvhost.exe
HKLM\software\microsoft\windows\currentversion\policies\system|DisableRegistryTools
HKLM\software\microsoft\windows\currentversion\run|Windows

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{BA748C00-EBC9-EC30-AAAD-CBD003C09003}
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{B023A0AE-AF02-A408-DE3D-E0E80A560005}

Files to delete:
C:\WINDOWS\plugin1.dat
C:\WINDOWS\shdef.exe
C:\WINDOWS\__delete_on_reboot__s_c_v_h_o_s_t_._e_x_e_
C:\WINDOWS\scvhost.exe
C:\WINDOWS\scv.exe
C:\WINDOWS\shdef.exe
C:\WINDOWS\nkit.dll
C:\WINDOWS\myroot.exe
««««««««««««««

4.
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

5.
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 14:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
anwenden - poste hier den scanreport nach neustart
http://virus-protect.org/artikel/tools/fixwareout.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 17:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 du arbeitest nicht korrekt - erst mal hast du das avengerscript nicht abgearbeitet, denn die plugin1.dat ist immer noch auf dem rechner ;(
dann hast du das log von combofix nicht komplett abkopiert.
so kann ich nicht arbeiten ;)
beginne also, alles so zu machen, damit ich dir helfen kann...........
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 19:53
...neu hier

Beiträge: 8
#15 1. log combofix:
"Ghost" - 07-02-14 18:45:11 Service Pack 2
ComboFix 07-02-11 - Running from: "C:\Dokumente und Einstellungen\Ghost\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2007-01-14 to 2007-02-14 ))))))))))))))))))))))))))))))))))


2007-02-14 18:14 <DIR> d-------- C:\SDFix
2007-02-14 18:08 <DIR> d-------- C:\avenger
2007-02-14 14:35 <DIR> d-------- C:\WINDOWS\CAVTemp
2007-02-14 14:28 <DIR> d-------- C:\fixwareout
2007-02-14 14:22 1,021,504 --a------ C:\WINDOWS\system32\vete.dll
2007-02-14 00:36 <DIR> d-------- C:\WINDOWS\Prefetch
2007-02-14 00:20 17,584 --a------ C:\WINDOWS\WSSPORD.DAT
2007-02-14 00:13 7,890 --a------ C:\WINDOWS\system32\eInstall.dat
2007-02-14 00:09 153,712 --a------ C:\WINDOWS\winsbak2.reg
2007-02-14 00:09 12,946 --a------ C:\WINDOWS\winsbak.reg
2007-02-14 00:09 <DIR> d-------- C:\PUB
2007-02-14 00:08 950,272 --a------ C:\WINDOWS\system32\contfilt.dll
2007-02-14 00:08 9,488 --a------ C:\WINDOWS\sporder.dll
2007-02-14 00:08 7,680 --a------ C:\WINDOWS\sporder.exe
2007-02-14 00:08 508,928 --a------ C:\WINDOWS\system32\eInstall.exe
2007-02-14 00:08 41,984 --a------ C:\WINDOWS\killproc.exe
2007-02-14 00:08 40,448 --a------ C:\WINDOWS\inst_tsp.exe
2007-02-14 00:08 339,968 --a------ C:\WINDOWS\system32\mwtsp.dll
2007-02-14 00:08 32,768 --a------ C:\WINDOWS\system32\esmxlog.dll
2007-02-14 00:08 153,600 --a------ C:\WINDOWS\R.COM
2007-02-14 00:08 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-02-14 00:08 138,000 --a------ C:\WINDOWS\system32\drivers\klif108.sys
2007-02-14 00:08 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2007-02-14 00:08 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2007-02-14 00:08 118,784 --a------ C:\WINDOWS\system32\mwnsp.dll
2007-02-14 00:08 117,008 --a------ C:\WINDOWS\system32\drivers\klif50.sys
2007-02-14 00:08 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE
2007-02-14 00:08 <DIR> d-------- C:\WINDOWS\system32\ES_SETUP
2007-02-14 00:08 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-02-14 00:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2007-02-14 00:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-02-14 00:08 <DIR> d-------- C:\Programme\eScan
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Vorlagen
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Startmen
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Favoriten
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Dokumente
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\REMOTE~1\Anwendungsdaten
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Vorlagen
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Favoriten
2007-02-14 00:08 <DIR> d-------- C:\DOKUME~1\LOCALS~1\Dokumente
2007-02-14 00:08 <DIR> d-------- C:\AVPDOS
2007-02-13 23:57 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-02-13 23:57 298,104 --a------ C:\WINDOWS\system32\imon.dll
2007-02-13 23:57 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2007-02-13 23:16 <DIR> d-------- C:\WINDOWS\ERDNT
2007-02-13 13:04 <DIR> d-------- C:\Programme\Avira
2007-02-11 14:31 28,672 --a------ C:\WINDOWS\system32\f3PSSavr.scr
2007-02-09 18:47 <DIR> d-------- C:\Programme\Ratajik Software
2007-02-04 14:09 72,192 --a------ C:\WINDOWS\unlite3.exe
2007-02-04 14:09 <DIR> d-------- C:\Programme\Bradbury
2007-01-31 16:47 <DIR> d-------- C:\DOKUME~1\Ghost\Anwendungsdaten\ICQ Toolbar
2007-01-30 22:25 <DIR> d-------- C:\Programme\ICQToolbar
2007-01-30 22:25 <DIR> d-------- C:\Programme\ICQLite1
2007-01-28 18:52 <DIR> d-------- C:\Programme\Pool 'm Up
2007-01-22 17:23 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-01-22 17:09 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2007-01-22 17:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Merge Modules
2007-01-22 17:09 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Microsoft Help
2007-01-21 15:13 <DIR> d-------- C:\Programme\Sir Henry
2007-01-19 12:53 51,056 --a------ C:\WINDOWS\system32\sirenacm.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-14 18:43 -------- d-------- C:\Programme\mozilla firefox
2007-02-14 17:43 -------- d-------- C:\Programme\mozilla thunderbird
2007-02-14 15:05 -------- d-------- C:\Programme\fritz!dsl
2007-02-14 14:21 645904 --a------ C:\WINDOWS\system32\drivers\vetmonnt.sys
2007-02-14 14:21 115088 --a------ C:\WINDOWS\system32\drivers\vetfddnt.sys
2007-02-13 12:42 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-12 22:38 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\azureus
2007-02-12 19:21 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\adobeum
2007-02-09 16:17 98304 --a------ C:\WINDOWS\system32\cmdlineext.dll
2007-02-08 15:12 -------- d--h----- C:\Programme\installshield installation information
2007-02-08 14:46 -------- d-------- C:\Programme\azureus
2007-02-03 00:01 -------- d-------- C:\Programme\msn messenger
2007-01-31 16:47 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\icq toolbar
2007-01-30 16:46 -------- d-------- C:\Programme\opera
2007-01-30 16:41 11194 --a------ C:\WINDOWS\mozver.dat
2007-01-28 23:33 -------- d-------- C:\Programme\sysobjectsex
2007-01-28 23:29 -------- d-------- C:\Programme\tes_map
2007-01-28 23:25 -------- d-------- C:\Programme\tuneup utilities 2006
2007-01-22 17:29 -------- d---s---- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\microsoft
2007-01-22 17:26 539670 --a------ C:\WINDOWS\system32\perfh007.dat
2007-01-22 17:26 120006 --a------ C:\WINDOWS\system32\perfc007.dat
2007-01-22 17:24 -------- d-------- C:\Programme\microsoft.net
2007-01-21 15:12 -------- d-------- C:\Programme\java
2007-01-15 22:47 -------- d-------- C:\Programme\intelore
2007-01-13 03:12 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fritz!
2007-01-07 16:48 -------- d-------- C:\Programme\Gemeinsame Dateien\avm
2007-01-05 15:26 -------- d-------- C:\Programme\winamp
2007-01-04 01:47 -------- d-------- C:\Programme\abc-ware
2006-12-27 22:04 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\slysoft
2006-12-27 21:56 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-12-27 21:56 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-12-27 21:55 -------- d-------- C:\Programme\slysoft
2006-12-26 21:43 35144 --a------ C:\WINDOWS\system32\drivers\AnyDVD.sys
2006-12-26 21:43 15440 --a------ C:\WINDOWS\system32\drivers\ElbyCDIO.sys
2006-12-26 21:43 11984 --a------ C:\WINDOWS\system32\drivers\RegKill.sys
2006-12-26 13:54 34760 --a------ C:\WINDOWS\system32\drivers\ElbyCDFL.sys
2006-12-21 15:21 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\media player classic
2006-12-19 20:57 -------- d-------- C:\Programme\Gemeinsame Dateien\agnitum shared
2006-12-16 16:15 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\smartftp
2006-12-16 16:06 -------- d-------- C:\Programme\smartftp client 2.0 setup files
2006-12-16 16:06 -------- d-------- C:\Programme\smartftp client 2.0
2006-12-16 15:05 67 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\nero_photoshow_express_4_eu_row.txt
2006-12-16 15:05 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\simple star
2006-12-16 15:05 -------- d-------- C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\nero
2006-12-16 14:52 -------- d-------- C:\Programme\Gemeinsame Dateien\nero
2006-12-16 14:51 -------- d-------- C:\Programme\nero
2006-12-16 14:51 -------- d-------- C:\Programme\Gemeinsame Dateien\ahead
2006-12-16 14:45 -------- d-------- C:\Programme\Gemeinsame Dateien\simple star shared
2006-12-16 14:03 -------- d-------- C:\Programme\Gemeinsame Dateien\logitech
2006-12-16 14:02 -------- d-------- C:\Programme\media player classic
2006-12-16 14:01 -------- d-------- C:\Programme\trillian
2006-12-16 01:28 113 --a-s---- C:\WINDOWS\test.bat
2006-12-16 01:10 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-16 01:10 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-14 21:51 -------- d-------- C:\Programme\audio tagging tools
2006-12-13 21:24 89296 --a------ C:\WINDOWS\system32\elbycdio.dll
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-26 12:57 335 --a------ C:\WINDOWS\nsreg.dat
2006-11-20 19:51 94080 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\ezplay.sys
2006-11-20 19:51 81920 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\ezpinst.exe
2006-11-20 19:51 7176 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.cat
2006-11-20 19:51 7172 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\ezplay.cat
2006-11-20 19:51 47360 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.sys
2006-11-20 19:51 34 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.log
2006-11-20 19:51 34 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fyuxxgmx.log
2006-11-20 19:51 125 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fyuxxgmx.ini
2006-11-20 19:51 1144 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\pcouffin.inf
2006-11-20 19:51 1104 --a------ C:\Dokumente und Einstellungen\Ghost\Anwendungsdaten\fyuxxgmx.inf
2006-11-18 13:59 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="SOUNDMAN.EXE"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ASUS Probe"="C:\\Program Files\\ASUS\\Asus Probe\\AsusProb.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spftray.exe"
@="C:\\WINDOWS\\scvhost.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Ptipbmf"="rundll32.exe ptipbmf.dll,SetWriteCacheMode"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Pinnacle Scheduler.lnk]
"backup"="C:\\WINDOWS\\pss\\Pinnacle Scheduler.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Pinnacle\\SHARED~1\\Programs\\SCHEDU~1\\PCLESC~1.EXE "
"item"="Pinnacle Scheduler"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
"backup"="C:\\WINDOWS\\pss\\VIA RAID TOOL.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\VIA\\RAID\\RAID_T~1.EXE "
"item"="VIA RAID TOOL"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Ghost^Startmenü^Programme^Autostart^Xfire.lnk]
"backup"="C:\\WINDOWS\\pss\\Xfire.lnkStartup"
"location"="Startup"
"item"="Xfire"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"inimapping"="0"
"command"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGEIA PhysX SysTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TrayIcon"
"hkey"="HKLM"
"command"="C:\\Programme\\AGEIA Technologies\\TrayIcon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntiVir]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="scvhost"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Probe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AsusProb"
"hkey"="HKLM"
"command"="C:\\Program Files\\ASUS\\Asus Probe\\AsusProb.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Babylon"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Barricade-Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BarrMon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\BarrMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BearShare"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Blue Frog]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bluefrog"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CTDetect"
"hkey"="HKCU"
"command"="C:\\Programme\\Creative\\MediaSource\\Detector\\CTDetect.exe /R"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Core"
"hkey"="HKCU"
"command"="C:\\Programme\\Electronic Arts\\EA Link\\Core.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eScan Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVPMWrap"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\eScan\\AVPMWrap.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eScan Updater]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TRAYICOS"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE /App"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Language"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ManifestEngine"
"hkey"="HKCU"
"command"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LVCOMSX"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MailScan Dispatcher]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LAUNCH"
"hkey"="HKLM"
"command"="\"C:\\Programme\\eScan\\LAUNCH.EXE\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsgPlus"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msconfig]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="scvhost"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mstss]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mstss"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nero PhotoShow Media Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mssysmgr"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\Nero\\NEROPH~1\\data\\Xtras\\mssysmgr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nod32kui"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Eset\\nod32kui.exe\" /WAITSERVICE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nurb Hole]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="THAT MEMO"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OutpostFeedBack]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="feedback"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\outpost_uninst]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="_uninstop"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCCClient.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCCClient"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pccguide.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pccguide"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pop3trap.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Pop3trap"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PopUpKiller & DialerDetector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PopUpKiller"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\slowmeettrustname]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="vga tool"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spamihilator]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="spamihilator"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="spftray"
"hkey"="HKLM"
"command"="C:\\Programme\\SPYWAREfighter\\spftray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\startkey]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nirvana"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TerraTec Remote Control]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TTTVRC"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\TerraTec\\Remote\\TTTVRC.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update Checker]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="scvhost"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualDVR]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VirtualDVR"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="scv"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\scv.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="scvhost"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=dword:00000003
"IDriverT"=dword:00000003
"ATI Smart"=dword:00000002
"Ati HotKey Poller"=dword:00000002
"MDM"=dword:00000002
"PCCPFW"=dword:00000003
"ose"=dword:00000003
"TUWinStylerThemeSvc"=dword:00000003
"RichVideo"=dword:00000002
"UleadBurningHelper"=dword:00000002
"StarWindService"=dword:00000002
"Creative Service for CDROM Access"=dword:00000002
"iPod Service"=dword:00000003
"OutpostFirewall"=dword:00000002
"MSSQL$SQLEXPRESS"=dword:00000002
"SQLWriter"=dword:00000003
"usnjsvc"=dword:00000003
"SPYWAREfighterRP"=dword:00000003
"MWAgent"=dword:00000002
"KAVMonitorService"=dword:00000002
"eScan-trayicos"=dword:00000002


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"="0"
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001
"NoStrCmpLogical"=dword:00000001
"GreyMSIAds"=dword:00000001
"NoRecentDocsHistory"=dword:00000001
"NoUserNameInStartMenu"=dword:00000001
"NoSharedDocuments"=hex:00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
tapisrv REG_MULTI_SZ Tapisrv\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-14 18:50:39
C:\ComboFix2.txt ... 07-02-14 17:59
C:\ComboFix3.txt ... 07-02-14 15:16

2.report.text

Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.Jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ASUS Probe"="C:\\Program Files\\ASUS\\Asus Probe\\AsusProb.exe"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spftray.exe"
@="C:\\WINDOWS\\scvhost.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

3. Logfile of HijackThis v1.99.1
Scan saved at 19:50:06, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ASUS\Asus Probe\AsusProb.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://offers.whenu.com/installed.html?app=whenusave&ptr=EEPE1205010001&pds=BearShare&toi=20060421145139
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1927341C-99F7-7A96-E898-12F3E58CBFD7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7632ABCA-B104-4fbc-9C70-419C41470619} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BBB193E6-5BBE-8C15-C2C4-CA830AB5A2A4} - (no file)
O2 - BHO: (no name) - {D5EFDB0E-4F51-414F-B740-54A5C87A8957} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Asus Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\scvhost.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - User Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite1\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3F21AA2D-C51D-4260-9D9E-34F17D2DE293} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3F21AA2D-C51D-4260-9D9E-34F17D2DE293} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CAE3DCE-80A0-432A-AAD3-90296CD88586}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

so ich habe jetzt diese ersten 5 punkte abgearbeitet ich hoffe es ist alles drinne
Seitenanfang Seitenende