Virusmeldung von AntiVir: TR/DLDR.ConHook.Gen und 0 Ahnung.

#1 Hallo,
seit einer Weile bekomme ich immer wieder die Meldung:
Virus gefunden:
C:windows\sys32\mp4c42.dll ist das trojanische Pferd TR/DLDR.ConHook.Gen .
Diese Datei lässt sich nicht löschen.

Inzwischen sind nun auch einige Dateien von Windows zerstört bzw werden als defekt gemeldet.
Leider bin ich sehr unerfahren mit solchen Dingen.

Zu diesem Virus war von TomTom bereits ein Beitrag im Forum drin, den ich zwar gelesen aber nicht wirklich verstanden habe.

Aber anhand Eurer Anleitung habe ich versucht die logfiles zu erstellen.

1. HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 19:30:39, on 12/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
D:\Internet\NewNetMail Courier\NewNetMailCourier.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Internet\Roboform\RoboTaskBarIcon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\locator.exe
D:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Internet\Crazy Browser\Crazy Browser.exe
D:\Internet\MozillaThunderbird\thunderbird.exe
C:\WINDOWS\NOTEPAD.EXE
D:\Internet\Opera723\Opera.exe
D:\DOWNLOAD\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Internet/Surf%20Starter%20Pro/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll
O2 - BHO: (no name) - {9CAEFE60-74A0-42D4-A30F-574459C93EE3} - C:\WINDOWS\system32\mp4c42.dll
O3 - Toolbar: StockBar Class - {07A3D336-90D3-4C90-922D-7257D56434BF} - D:\Internet\TrafficToolbar\Traffic_Toolbar\htmlbar.dll
O3 - Toolbar: Instant Bu&zz - {7475D3FD-5D85-49DB-8B9B-6968467B2D80} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\Anti-Virus-eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NewNetMailCourier] D:\Internet\NewNetMail Courier\NewNetMailCourier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RoboForm] "D:\Internet\Roboform\RoboTaskBarIcon.exe"
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: RF - Formular ausfüllen - file://D:\Internet\Roboform\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://D:\Internet\Roboform\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://D:\Internet\Roboform\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Instant Buzz - {066040F0-5018-4E15-8AA0-81D36136D989} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{75D7AE23-4283-4D78-9F57-EF40C1F89B07}: NameServer = 192.168.178.1
O20 - Winlogon Notify: mp4c42 - C:\WINDOWS\SYSTEM32\mp4c42.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe




2. Cleanup scheint es nicht mehr zu geben, da der angegebene Link sich
nicht laden lässt (mit copy & paste in verschiedenen browsern ausprobiert).


3. combofix

Ich - 06-12-03 18:49:55,18 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Ich\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-11-03 to 2006-12-03 ))))))))))))))))))))))))))))))))))


2006-11-28 23:26 <DIR> d-------- C:\WINDOWS\LastGood
2006-11-26 22:35 <DIR> d-------- C:\Programme\Little Big Backup 2
2006-11-26 14:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-11-22 23:08 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2006-11-17 10:30 <DIR> d-------- C:\Programme\MSXML 4.0
2006-11-04 14:14 1,245,696 --a------ C:\WINDOWS\system32\msxml4.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]
[color=red]Rootkit driver msguard is present. A rootkit scan is required[/color]
[color=red]Rootkit driver lzx32 is present. A rootkit scan is required[/color]

2006-12-03 18:48 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\Skype
2006-12-03 15:10 -------- d-------- C:\Programme\HP
2006-11-23 10:23 5686 --a------ C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\BestModePatch_RubenMain.log
2006-11-17 10:29 -------- d-------- C:\Programme\Internet Explorer
2006-11-11 17:45 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\AdobeUM
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-05 23:33 -------- d-------- C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\FRITZ!
2006-09-22 08:05 16934 --------- C:\WINDOWS\system32\mp4c42.dll
2006-09-22 08:04 23470 --a------ C:\WINDOWS\system32\ddcyw.exe
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"D:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"Yahoo! Pager"="\"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe\" -quiet"
"ProfiDialer"=""
"NewNetMailCourier"="D:\\Internet\\NewNetMail Courier\\NewNetMailCourier.exe"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"RoboForm"="\"D:\\Internet\\Roboform\\RoboTaskBarIcon.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ezShieldProtector for Px"="C:\\WINDOWS\\System32\\ezSP_Px.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_07\\bin\\jusched.exe"
"MailScan Dispatcher"="\"D:\\Programme\\Anti-Virus-eScan\\LAUNCH.EXE\""
"eScan Updater"="D:\\PROGRA~1\\ANTI-V~1\\TRAYICOS.EXE /App"
"HP Software Update"="C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe"
"RegistryMechanic"=""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"D:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"D:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Ich^Startmenü^Programme^Autostart^ScreenJump23.exe]
"path"="d:\\internet\\screenjump\\screenjump23.exe"
"backup"="C:\\WINDOWS\\pss\\ScreenJump23.exeStartup"
"location"="Startup"
"command"="d:\\internet\\screenjump\\screenjump23.exe"
"item"="ScreenJump23"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Ich^Startmenü^Programme^Autostart^SpamPal.lnk]
"backup"="C:\\WINDOWS\\pss\\SpamPal.lnkStartup"
"location"="Startup"
"command"="D:\\Internet\\SpamPal\\spampal.exe "
"item"="SpamPal"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\conscorr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="conscorr"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DragDrop"
"hkey"="HKLM"
"command"="C:\\Programme\\drag'n drop cd+dvd\\BinFiles\\DragDrop.exe /StartUp"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FSCBoss]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="FSCBoss"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Marketing Tips Messenger]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Marketing Tips Messenger"
"hkey"="HKLM"
"command"="c:\\windows\\ablage\\marketing tips messenger.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MDT]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MDT"
"hkey"="HKCU"
"command"="D:\\Internet\\MillionDollarTraffic\\MDT.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MediaPilot]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MediaPilot"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msbb"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\satmat]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="satmat"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Subliminal Power]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SubliminalPower"
"hkey"="HKLM"
"command"="D:\\Programme\\Subliminal Power\\SubliminalPower.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wmplayer"
"hkey"="HKCU"
"command"="C:\\PROGRA~1\\WINDOW~2\\wmplayer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebArmyKnife]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wak"
"hkey"="HKLM"
"command"="D:\\Internet\\Web Army Knife\\wak.exe q"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinPatrol]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winpatrol"
"hkey"="HKLM"
"command"="D:\\Internet\\BillP Studios\\WinPatrol\\winpatrol.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ypager"
"hkey"="HKCU"
"command"="\"C:\\PROGRA~1\\Yahoo!\\MESSEN~1\\ypager.exe\" -quiet"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YourEasyStreet]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MediaPilot"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yyptdwn]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bzrqdz"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zlclient"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zticker.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zticker"
"hkey"="HKCU"
"command"="D:\\Programme\\Dale Carnegie\\zticker.exe"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp4c42

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-03 18:51:57.88
C:\ComboFix.txt ... 06-12-03 18:51
C:\ComboFix2.txt ... 06-12-03 17:49


4. DATFIND 1

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\system32

12/03/2006 18:44 1.158 wpa.dbl
11/28/2006 23:22 381.692 perfh009.dat
11/28/2006 23:22 392.512 perfh007.dat
11/28/2006 23:22 53.436 perfc009.dat
11/28/2006 23:22 64.452 perfc007.dat
11/28/2006 23:22 902.476 PerfStringBackup.INI
11/16/2006 06:20 10.474.920 MRT.exe
11/04/2006 14:14 1.245.696 msxml4.dll
10/16/2006 11:40 123.392 xpsp3res.dll
10/13/2006 13:35 146.432 nwprovau.dll
09/22/2006 08:05 16.934 mp4c42.dll
09/22/2006 08:04 23.470 ddcyw.exe
09/14/2006 09:39 474.624 shlwapi.dll
09/14/2006 09:39 615.936 urlmon.dll
09/14/2006 09:39 664.576 wininet.dll
09/14/2006 09:39 39.424 pngfilt.dll
09/14/2006 09:39 532.480 mstime.dll
09/14/2006 09:39 3.075.584 mshtml.dll
09/14/2006 09:39 146.432 msrating.dll
09/14/2006 09:39 448.512 mshtmled.dll
09/14/2006 09:39 96.768 inseng.dll
09/14/2006 09:39 357.888 dxtmsft.dll
09/14/2006 09:39 251.392 iepeers.dll
09/14/2006 09:39 55.808 extmgr.dll
09/14/2006 09:39 16.384 jsproxy.dll
09/14/2006 09:39 205.312 dxtrans.dll
09/14/2006 09:39 1.056.256 danim.dll
09/14/2006 09:39 1.022.976 browseui.dll
09/14/2006 09:39 152.064 cdfview.dll
09/13/2006 06:02 1.084.416 msxml3.dll
09/04/2006 07:12 1.494.016 shdocvw.dll

Datfind 2

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\DOKUME~1\Ich\LOKALE~1\Temp

12/03/2006 19:30 16.384 ~DF7E09.tmp
12/03/2006 18:45 16.384 Perflib_Perfdata_704.dat
12/03/2006 18:43 16.384 ~DF24CE.tmp
12/03/2006 18:43 49.152 ~DFC2A6.tmp
12/03/2006 18:43 32.768 ~DF8AEE.tmp
11/21/2006 22:46 1.430 MARAF.tmp
6 Datei(en) 132.502 Bytes
0 Verzeichnis(se), 18.054.840.320 Bytes frei

DATFIND 3

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS

12/03/2006 19:21 2.822 win.ini
12/03/2006 18:50 1.644.110 WindowsUpdate.log
12/03/2006 18:45 2.822 win.tmp
12/03/2006 18:44 474.580 ESCAN.LOG
12/03/2006 18:44 172.111 setupapi.log
12/03/2006 18:43 0 0.log
12/03/2006 18:43 3.832 ModemLog_Agere Systems AC'97 Modem.txt
12/03/2006 18:43 159 wiadebug.log
12/03/2006 18:43 50 wiaservc.log
12/03/2006 18:43 26.775 frights.log
12/03/2006 18:43 2.048 bootstat.dat
12/03/2006 18:41 32.556 SchedLgU.Txt
12/03/2006 14:08 63.481 KB922760.log
12/03/2006 01:20 20.639 ie7_main.log
12/03/2006 01:20 3.521 KB915865.log
12/03/2006 01:19 3.795 KB914440.log
12/03/2006 01:19 7.548 KB904942.log
11/28/2006 23:11 248.780 ntbtlog.txt
11/28/2006 22:41 127 CPERROR.LOG
11/27/2006 01:59 86 klif.spi
11/23/2006 10:24 214 HP_48BitScanUpdatePatch.ini
11/18/2006 13:03 54.156 QTFont.qfn
11/17/2006 10:30 31.576 iis6.log
11/17/2006 10:30 65.350 comsetup.log
11/17/2006 10:30 39.695 ntdtcsetup.log
11/17/2006 10:30 75.488 tsoc.log
11/17/2006 10:30 1.393 imsins.log
11/17/2006 10:30 10.944 ocmsn.log
11/17/2006 10:30 17.675 KB923980.log
11/17/2006 10:30 93.312 ocgen.log
11/17/2006 10:30 9.888 msgsocm.log
11/17/2006 10:30 197.069 FaxSetup.log
11/17/2006 10:30 1.393 imsins.BAK
11/17/2006 10:30 17.763 KB924270.log
11/17/2006 10:30 16.409 updspapi.log
11/17/2006 10:29 16.204 KB920213.log
10/12/2006 02:03 14.223 KB924191.log
10/12/2006 02:03 13.820 KB922819.log
10/12/2006 02:02 12.025 KB923414.log
10/12/2006 02:02 12.074 KB924496.log
10/12/2006 02:02 9.450 KB923191.log
09/27/2006 21:31 10.557 KB925486.log
09/25/2006 23:59 107 avmsysnet.log
09/25/2006 23:57 2.482 avmadd32.log
09/14/2006 00:12 13.098 KB920685.log
09/14/2006 00:12 14.738 KB920872.log
09/14/2006 00:12 13.245 KB919007.log
09/14/2006 00:12 9.313 KB922582.log


DATFIND 4

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\Temp


DATFIND 5

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11/22/2006 23:10 2.072 vscanmsx.dat
11/15/2006 01:00 453 tinf.dat
11/15/2006 01:00 32 virscant.dat
11/15/2006 01:00 2.504 catalog.dat
11/15/2006 01:00 3.846.955 virscan9.dat
11/15/2006 01:00 1.632.046 virscan8.dat
11/15/2006 01:00 4.935.638 virscan7.dat
11/15/2006 01:00 6.899 ecbootil.vxd
11/15/2006 01:00 272.040 ecmsvr32.dll
11/15/2006 01:00 389.846 virscan6.dat
11/15/2006 01:00 2.933.516 virscan5.dat
11/15/2006 01:00 124.584 naveng32.dll
11/15/2006 01:00 882.344 navex32a.dll
11/15/2006 01:00 97.680 scrauth.dat
11/15/2006 01:00 9.237 symaveng.cat
11/15/2006 01:00 1.061 symaveng.inf
11/15/2006 01:00 186.790 tcdefs.dat
11/15/2006 01:00 1.048.656 tcscan7.dat
11/15/2006 01:00 320.725 tcscan8.dat
11/15/2006 01:00 709.177 tcscan9.dat
11/15/2006 01:00 224 zdone.dat
11/15/2006 01:00 148 tinfidx.dat
11/15/2006 01:00 1.957 tinfl.dat
11/15/2006 01:00 320.186 virscan4.dat
11/15/2006 01:00 61.669 tscan1.dat
11/15/2006 01:00 3.027 tscan1hd.dat
11/15/2006 01:00 4.778 v.grd
11/15/2006 01:00 2.269 v.sig
11/15/2006 01:00 106.244 virscan.inf
11/15/2006 01:00 971.811 virscan1.dat
11/15/2006 01:00 569.844 virscan2.dat
11/15/2006 01:00 146.864 virscan3.dat
11/10/2006 23:43 23.801 index.html
10/07/2004 14:08 313 ActiveX.inf
03/09/2004 23:13 32 basis.key
03/09/2004 23:13 1.035 toolbar2.inf
03/09/2004 23:09 14.010 basis.xml
12/02/2003 18:09 65 desktop.ini
07/25/2002 17:13 24.576 dwusplay.dll
07/25/2002 17:13 196.608 dwusplay.exe
07/25/2002 17:05 172.032 isusweb.dll
41 Datei(en) 20.023.748 Bytes
0 Verzeichnis(se), 18.054.823.936 Bytes frei


DATFIND 6

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\

12/03/2006 21:32 0 sys.txt
12/03/2006 21:32 2.242 down.txt
12/03/2006 21:31 108 tmp.txt
12/03/2006 21:30 10.629 system.txt
12/03/2006 21:29 537 systemtemp.txt
12/03/2006 21:25 98.694 system32.txt
12/03/2006 18:51 11.216 ComboFix.txt
12/03/2006 18:43 536.268.800 hiberfil.sys
12/03/2006 18:43 1.073.741.824 pagefile.sys
12/03/2006 17:49 11.075 ComboFix2.txt
11/07/2006 18:48 2.586 ttt.ttt
07/16/2006 10:53 146 YServer.txt
01/03/2006 10:21 211 boot.ini
09/16/2005 13:06 47.564 NTDETECT.COM
09/16/2005 13:06 251.184 ntldr
05/28/2005 11:45 2 AVPCallback.log
12/13/2004 13:23 1.121 1.txt
11/14/2004 09:27 9.742 adp_inst.log
07/11/2004 22:15 55 AUTOEXEC.SOL
12/02/2003 18:10 0 IO.SYS
12/02/2003 18:10 0 CONFIG.SYS
12/02/2003 18:10 0 MSDOS.SYS
04/02/2003 13:00 4.952 bootfont.bin
23 Datei(en) 1.610.462.688 Bytes
0 Verzeichnis(se), 18.054.819.840 Bytes frei

Ich hoff, dass mir jemand helfen wird und möchte mich vorab schonmal bedanken. Weiterer Dank folgt dann..

Gruß
MrHiller

#2 MrHiller

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CAEFE60-74A0-42D4-A30F-574459C93EE3}
HKLM\SOFTWARE\Classes\CLSID\{9CAEFE60-74A0-42D4-A30F-574459C93EE3}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yyptdwn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp4c42

Files to delete:
C:\WINDOWS\system32\mp4c42.dll
C:\WINDOWS\system32\ddcyw.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

»»
SCANNE
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

__________________
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

Ich habe erhebliche Schwierigkeiten bei der Durchführung Deiner Anweisungen bekommen.

1. Nachdem AVENGER gelaufen war, konnte er die avenger.txt nicht anlegen
und mein Computer war blockiert, sodaß ich nochmal neu starten musste.

2. Bei diesem Neustart habe ich etwa 27 mal die ANTIVIR-Meldung erhalten: C:windows\sys32\mp4c42.dll ist das trojanische Pferd TR/DLDR.ConHook.Gen .
Da etwa habe ich dann abgebrochen und rebootet.
Darauf kam die Meldung nur noch zwei Mal.

3. Ich habe mich nun nicht mehr getraut, das Backup von AVENGER zu löschen, falls ich es nochmal brauche.
Allerdings habe ich versucht AVENGER zu re-installieren und nochmals laufen zu lassen.
Nach der Meldung "first step completed" habe ich wieder die Virusmeldung erhalten. Ich habe dann weiter gemacht mit "Zugriff verweigern" im Antivir
und "reboot yes" im AVENGER.
Wieder kam die Meldung: kann avenger.txt nicht finden. Neu anlegen "JA" "NEIN".
Nachdem ich mit "JA" bestätigz hatte, ist diese Datei erstellt worden und blieb leer auf dem Bildschirm.
Diesmal hat der Computer nicht blockiert und ich konnte weiter arbeiten um diesen Beitrag zu erstellen.
Allerdings bekam ich während des ladens der Icons auf dem Desktop wieder 2x die Virusmeldung, die ich mit "Zugriff verweigern" beendet habe.

4. Beim Neustart eralte ich im Systray unten rechts die Meldung:
"Die Datei c:\windows\system32\config\System.log ist beschädigt und nicht lesbar.
Führen Sie chkdsk aus.

chkdsk bringt eine Menge Meldungen "Datensatzsegment gelöscht".
Aber am Ende steht dann: "Fehler gefunden. CHKDSK kann im schreibgeschützen Modus
nicht fortgesetzt werden."

5. AVG AntiRootKit habe ich geladen.
Beim Aufruf der Datei erscheint ein Fenster mit dem "Search for Rootkits"-button.
Wenn ich den drücke, kommt die Meldung: "Application driver is missing.Please
re-install the AVG Anti-Rootkit Beta".
Das habe ich gemacht. Es kommt wieder die gleiche Meldung.


Ist das alles normal?????

Ich hoffe, ich habe alles verständlich genug beschrieben.

Kannst Du damit was anfangen?

Gruß
MrHiller

#4 Systemwiederherstellung
Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählst du: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen dir gesetzte Wiederherstellungspunkte. - gehe soweit als moeglich zurueck im Datum !
dann lade das hijackThis neu und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,
Vielen Dank für den Tip.

Habe es versucht mit der frühesten Einstellung am 1.10.2006.

Hat leider nicht funktionier
Das Programm hat mir den WEITER-Button zum Start der Zurücksetzung angezeigt. Es hat nach dem click darauf auch scheinbar einiges getan.
Ist jedoch dabei hängen geblieben und hat keine weitere Reaktion ausgelöst.
Ich habe die Seite ca. 1 Stunde stehen lassen, in der (irren) Hoffnung dass sie nur etwas länger Zeit braucht.

Noch irgend eine Idee????

Gruß
MrHiller

#6 1.
versuche es noch mal.
2.
wende vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html
3.
poste wieder das log vom HijackThis -egal von welcher Konfiguration
4.
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

1.
Nochmaliges Zurücksetzen auf den 1.10.06 hat genauso funktioniert, wie das erste Mal. Das Programm ist nach 2-maliger Virusmeldung, die ich mit ZUGRIFF VERWEIGERN abgeschlossen habe, wieder stehen geblieben.
Der wiederherstellungskalender geht aber nur bis zum 1.10.06 zurück.
Einen früheren Systemprüfpunkt gibt es leider nicht.

2.
VundoFix konnte ich nich benutzen, da die angegebne Seite zum runterladen nicht gefunden werden konnte:
http://www.atribune.org/ccount/click.php?id=4


Hier nun die neuen HiJackThis- und DATAFIND- Ergebnisse:

HiJackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 13:30:17, on 12/05/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
D:\Internet\NewNetMail Courier\NewNetMailCourier.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Internet\Roboform\RoboTaskBarIcon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\locator.exe
D:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Ich\Desktop\DATENRETTUNG\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///D:/Internet/Surf%20Starter%20Pro/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing)
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {9CAEFE60-74A0-42D4-A30F-574459C93EE3} - C:\WINDOWS\system32\mp4c42.dll
O3 - Toolbar: StockBar Class - {07A3D336-90D3-4C90-922D-7257D56434BF} - D:\Internet\TrafficToolbar\Traffic_Toolbar\htmlbar.dll
O3 - Toolbar: Instant Bu&zz - {7475D3FD-5D85-49DB-8B9B-6968467B2D80} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll (file missing)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - D:\Internet\Roboform\roboform.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [MailScan Dispatcher] "D:\Programme\Anti-Virus-eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] D:\PROGRA~1\ANTI-V~1\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [NewNetMailCourier] D:\Internet\NewNetMail Courier\NewNetMailCourier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RoboForm] "D:\Internet\Roboform\RoboTaskBarIcon.exe"
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: WkCalRem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: RF - Formular ausfüllen - file://D:\Internet\Roboform\RoboFormComFillForms.html
O8 - Extra context menu item: RF - Formular speichern - file://D:\Internet\Roboform\RoboFormComSavePass.html
O8 - Extra context menu item: RF - Menü anpassen - file://D:\Internet\Roboform\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - RoboForm-Leiste ein/aus - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Instant Buzz - {066040F0-5018-4E15-8AA0-81D36136D989} - C:\PROGRA~1\INSTAN~1\INSTAN~1.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: (no name) - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra 'Tools' menuitem: Tri&xie Options... - {20CCCFEC-D26F-4ffe-996B-388B39C8CCCA} - C:\WINDOWS\system32\mscoree.DLL
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll (file missing)
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://D:\Internet\Roboform\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://D:\Internet\Roboform\RoboFormComSavePass.html
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-Leiste ein/aus - {724d43aa-0d85-11d4-9908-00400523e39a} - file://D:\Internet\Roboform\RoboFormComShowToolbar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O17 - HKLM\System\CCS\Services\Tcpip\..\{75D7AE23-4283-4D78-9F57-EF40C1F89B07}: NameServer = 192.168.178.1
O20 - Winlogon Notify: mp4c42 - C:\WINDOWS\SYSTEM32\mp4c42.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - D:\PROGRA~1\ANTI-V~1\TRAYSSER.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)
O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)
O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe


DATFIND 1

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\system32

12/05/2006 13:28 8.891 jupdate-1.5.0_09-b03.log
12/05/2006 13:22 1.158 wpa.dbl
12/03/2006 23:48 41 AuxDrv32ds_k.ods
12/03/2006 23:48 41 SndDrv32ds_k.ods
11/28/2006 23:22 381.692 perfh009.dat
11/28/2006 23:22 392.512 perfh007.dat
11/28/2006 23:22 53.436 perfc009.dat
11/28/2006 23:22 64.452 perfc007.dat
11/28/2006 23:22 902.476 PerfStringBackup.INI
11/16/2006 06:20 10.474.920 MRT.exe
11/04/2006 14:14 1.245.696 msxml4.dll
10/16/2006 11:40 123.392 xpsp3res.dll
10/13/2006 13:35 146.432 nwprovau.dll
10/12/2006 03:10 127.078 javaws.exe
10/12/2006 03:10 49.265 jpicpl32.cpl
10/12/2006 01:35 53.346 javaw.exe
10/12/2006 01:35 49.248 java.exe
09/22/2006 08:05 16.934 mp4c42.dll
09/22/2006 08:04 23.470 ddcyw.exe
09/14/2006 09:39 474.624 shlwapi.dll
09/14/2006 09:39 615.936 urlmon.dll
09/14/2006 09:39 664.576 wininet.dll
09/14/2006 09:39 39.424 pngfilt.dll
09/14/2006 09:39 532.480 mstime.dll
09/14/2006 09:39 146.432 msrating.dll
09/14/2006 09:39 448.512 mshtmled.dll
09/14/2006 09:39 3.075.584 mshtml.dll
09/14/2006 09:39 16.384 jsproxy.dll
09/14/2006 09:39 205.312 dxtrans.dll
09/14/2006 09:39 55.808 extmgr.dll
09/14/2006 09:39 251.392 iepeers.dll
09/14/2006 09:39 96.768 inseng.dll
09/14/2006 09:39 357.888 dxtmsft.dll
09/14/2006 09:39 152.064 cdfview.dll
09/14/2006 09:39 1.056.256 danim.dll
09/14/2006 09:39 1.022.976 browseui.dll
09/13/2006 06:02 1.084.416 msxml3.dll
09/04/2006 07:12 1.494.016 shdocvw.dll
08/30/2006 17:56 565.170 large.bnk
08/30/2006 17:56 278.528 livesnth.dll
08/30/2006 17:56 11.333 cf_lic.txt
08/25/2006 16:46 617.472 comctl32.dll
08/21/2006 13:26 16.896 fltlib.dll
08/21/2006 10:14 23.040 fltmc.exe
08/17/2006 13:28 729.600 lsasrv.dll
08/17/2006 13:28 332.288 netapi32.dll
08/17/2006 13:28 132.096 wkssvc.dll
08/16/2006 12:58 100.352 6to4svc.dll

DATFIND 2

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\DOKUME~1\Ich\LOKALE~1\Temp

12/05/2006 13:28 6.436 jusched.log
12/05/2006 13:28 874 java_install_reg.log
12/05/2006 13:28 23.528 java_install.log
12/05/2006 13:27 1.151 jinstall.cfg
12/05/2006 13:23 16.384 Perflib_Perfdata_710.dat
12/05/2006 13:22 1.430 MARB.tmp
12/05/2006 13:21 16.384 ~DF2721.tmp
12/05/2006 13:21 49.152 ~DFDE74.tmp
12/05/2006 13:21 32.768 ~DF8A12.tmp
12/04/2006 17:50 1.430 MARA.tmp
12/04/2006 17:49 49.152 ~DFE848.tmp
12/04/2006 17:49 32.768 ~DF874B.tmp
12/04/2006 14:39 1.430 MAR9.tmp
12/04/2006 13:31 1.430 MAR8.tmp
12/04/2006 13:31 49.152 ~DF29CE.tmp
12/04/2006 13:31 32.768 ~DF8ED2.tmp
12/04/2006 13:10 1.430 MAR7.tmp
12/04/2006 13:10 49.152 ~DFC9A1.tmp
12/04/2006 13:10 32.768 ~DF88FD.tmp
12/04/2006 12:48 1.430 MAR6.tmp
12/04/2006 12:48 49.152 ~DFFEF9.tmp
12/04/2006 12:47 32.768 ~DF8C64.tmp
12/04/2006 12:39 1.430 MAR5.tmp
12/04/2006 12:39 49.152 ~DF9D8.tmp
12/04/2006 12:39 32.768 ~DF90B4.tmp
12/04/2006 12:04 1.430 MAR4.tmp
12/04/2006 12:04 32.768 ~DF89E0.tmp
12/04/2006 11:31 1.430 MAR3.tmp
12/04/2006 11:31 32.768 ~DF905E.tmp
12/04/2006 11:07 44.105 P13470493-505260613-124276817-ver.pdf
12/04/2006 11:06 43.635 P13470493-505260613-124276817-sig.pdf
12/04/2006 00:47 1.430 MAR2.tmp
12/04/2006 00:47 49.152 ~DFDBA4.tmp
12/04/2006 00:47 32.768 ~DF8A39.tmp
12/03/2006 23:48 72.748 _iu14D2N.tmp
12/03/2006 18:43 49.152 ~DFC2A6.tmp
12/03/2006 18:43 32.768 ~DF8AEE.tmp
12/02/2006 17:21 160 DFC5A2B2.TMP
11/21/2006 22:46 1.430 MARAF.tmp
10/16/2006 21:10 251.656 AutoDL%3FBundleId=10750_b1977f85.exe
40 Datei(en) 1.213.687 Bytes
0 Verzeichnis(se), 18.071.187.456 Bytes frei

DATFIND 3

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS

12/05/2006 13:33 2.822 win.ini
12/05/2006 13:27 1.812.991 WindowsUpdate.log
12/05/2006 13:24 498.462 ESCAN.LOG
12/05/2006 13:24 2.822 win.tmp
12/05/2006 13:22 207.931 setupapi.log
12/05/2006 13:21 0 0.log
12/05/2006 13:21 3.832 ModemLog_Agere Systems AC'97 Modem.txt
12/05/2006 13:21 159 wiadebug.log
12/05/2006 13:21 50 wiaservc.log
12/05/2006 13:21 27.435 frights.log
12/05/2006 13:21 2.048 bootstat.dat
12/05/2006 13:18 32.556 SchedLgU.Txt
12/05/2006 10:00 114.830 KB922760.log
12/04/2006 11:33 206 EurekaLog.ini
12/03/2006 01:20 20.639 ie7_main.log
12/03/2006 01:20 3.521 KB915865.log
12/03/2006 01:19 3.795 KB914440.log
12/03/2006 01:19 7.548 KB904942.log
11/28/2006 23:11 248.780 ntbtlog.txt
11/28/2006 22:41 127 CPERROR.LOG
11/27/2006 01:59 86 klif.spi
11/23/2006 10:24 214 HP_48BitScanUpdatePatch.ini
11/18/2006 13:03 54.156 QTFont.qfn
11/17/2006 10:30 39.695 ntdtcsetup.log
11/17/2006 10:30 31.576 iis6.log
11/17/2006 10:30 65.350 comsetup.log
11/17/2006 10:30 1.393 imsins.log
11/17/2006 10:30 10.944 ocmsn.log
11/17/2006 10:30 75.488 tsoc.log
11/17/2006 10:30 17.675 KB923980.log
11/17/2006 10:30 9.888 msgsocm.log
11/17/2006 10:30 93.312 ocgen.log
11/17/2006 10:30 197.069 FaxSetup.log
11/17/2006 10:30 1.393 imsins.BAK
11/17/2006 10:30 17.763 KB924270.log
11/17/2006 10:30 16.409 updspapi.log
11/17/2006 10:29 16.204 KB920213.log
10/12/2006 02:03 14.223 KB924191.log
10/12/2006 02:03 13.820 KB922819.log
10/12/2006 02:02 12.025 KB923414.log
10/12/2006 02:02 12.074 KB924496.log
10/12/2006 02:02 9.450 KB923191.log
09/27/2006 21:31 10.557 KB925486.log
09/25/2006 23:59 107 avmsysnet.log
09/25/2006 23:57 2.482 avmadd32.log
09/14/2006 00:12 13.098 KB920685.log
09/14/2006 00:12 14.738 KB920872.log
09/14/2006 00:12 13.245 KB919007.log
09/14/2006 00:12 9.313 KB922582.log
08/30/2006 17:56 44 liveup.ini
08/25/2006 11:08 7.909 wmsetup.log
08/13/2006 09:00 17.598 KB920214.log
08/13/2006 09:00 17.903 KB922616.log
08/13/2006 09:00 17.481 KB921398.log
08/13/2006 08:59 19.876 KB918899.log
08/13/2006 08:58 10.766 KB920670.log
08/13/2006 08:58 11.259 KB917422.log
08/11/2006 20:56 11.731 KB920683.log
08/11/2006 09:47 206 HPGdiPlus.ini
08/10/2006 08:26 11.094 KB921883.log


DATFIND 4

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\Temp

12/05/2006 13:22 409 WGANotify.settings
12/05/2006 13:21 255 WGAErrLog.txt
12/04/2006 00:47 0 T30DebugLogFile.txt
3 Datei(en) 664 Bytes
0 Verzeichnis(se), 18.071.187.456 Bytes frei

DATFIND 5

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11/22/2006 23:10 2.072 vscanmsx.dat
11/15/2006 01:00 453 tinf.dat
11/15/2006 01:00 32 virscant.dat
11/15/2006 01:00 2.504 catalog.dat
11/15/2006 01:00 3.846.955 virscan9.dat
11/15/2006 01:00 1.632.046 virscan8.dat
11/15/2006 01:00 4.935.638 virscan7.dat
11/15/2006 01:00 6.899 ecbootil.vxd
11/15/2006 01:00 272.040 ecmsvr32.dll
11/15/2006 01:00 389.846 virscan6.dat
11/15/2006 01:00 2.933.516 virscan5.dat
11/15/2006 01:00 124.584 naveng32.dll
11/15/2006 01:00 882.344 navex32a.dll
11/15/2006 01:00 97.680 scrauth.dat
11/15/2006 01:00 9.237 symaveng.cat
11/15/2006 01:00 1.061 symaveng.inf
11/15/2006 01:00 186.790 tcdefs.dat
11/15/2006 01:00 1.048.656 tcscan7.dat
11/15/2006 01:00 320.725 tcscan8.dat
11/15/2006 01:00 709.177 tcscan9.dat
11/15/2006 01:00 224 zdone.dat
11/15/2006 01:00 148 tinfidx.dat
11/15/2006 01:00 1.957 tinfl.dat
11/15/2006 01:00 320.186 virscan4.dat
11/15/2006 01:00 61.669 tscan1.dat
11/15/2006 01:00 3.027 tscan1hd.dat
11/15/2006 01:00 4.778 v.grd
11/15/2006 01:00 2.269 v.sig
11/15/2006 01:00 106.244 virscan.inf
11/15/2006 01:00 971.811 virscan1.dat
11/15/2006 01:00 569.844 virscan2.dat
11/15/2006 01:00 146.864 virscan3.dat
11/10/2006 23:43 23.801 index.html


DATFIND 6

Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\

12/05/2006 13:56 0 sys.txt
12/05/2006 13:55 2.242 down.txt
12/05/2006 13:54 382 tmp.txt
12/05/2006 13:53 10.680 system.txt
12/05/2006 13:52 2.266 systemtemp.txt
12/05/2006 13:50 98.756 system32.txt
12/05/2006 13:21 536.268.800 hiberfil.sys
12/05/2006 13:21 1.073.741.824 pagefile.sys
12/04/2006 13:31 0 avenger.txt
12/03/2006 18:51 11.216 ComboFix.txt
12/03/2006 17:49 11.075 ComboFix2.txt
11/07/2006 18:48 2.586 ttt.ttt
07/16/2006 10:53 146 YServer.txt
01/03/2006 10:21 211 boot.ini

Das wars für diesmal.

Gruß
MrHiller

#8 ««
Vundofix: ich habe das proggie (nur fuer dich) mal auf meinen Server geladen....
http://virus-protect.org/zip/VundoFix.exe

poste dann den scanreport

««
versuche es noch mal:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CAEFE60-74A0-42D4-A30F-574459C93EE3}
HKLM\SOFTWARE\Classes\CLSID\{9CAEFE60-74A0-42D4-A30F-574459C93EE3}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yyptdwn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp4c42

Files to delete:
C:\WINDOWS\system32\mp4c42.dll
C:\WINDOWS\system32\ddcyw.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina

Vielen Dank für die Datei VundoFix. Dieser Download hat geklappt.
Der Durchlauf des Programmes wurde unterbrochen als es auf die Datei mp4c42.dll stiess durch die Virusmeldung von ANTIVIR mit dem aktuellen conHook.gen, den wir runterkriegen wollen.

Als Ergebnis von VundoFix kam:
Done searching for files. No infected files found.

Avenger läuft nicht:
Nach Eingabe des Scriptes erscheint: ERROR "could not create zip file"
Nach "OK" kommt ne neue Meldung: ERROR "Press OK to log error and continue or cancel to abort".
Nach "OK" neue ERROR Meldung: "ERROR code 5".
Danach neue ERROR Meldung: "could not create service key" verbunden mit der ANTIVIR Meldung unseres Viruses.
Danch neue ERROR Meldung: "Error code 1813. Error logged to error.txt. Aborting now."

Danach war das Programm beendet.

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 5


Fatal error: could not create Services key.
Error code: 1813
Error logged to errorlog.txt. Aborting now!

Langsam befürchte ich, daß wir das Ding nicht mehr wegbekommen.
Oder noch chancen?????

Gruß
MrHiller

#10 ich habe den Verdacht dass du das avengerscript nicht korrekt anwendest
kopierst du "Zitat" mit rein ????

«
Input script manually (anhaken)

«
die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)

«
kopiere das script rein (ohne Zitat)

«
- Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina,

Hier ist der Text, den ich als avengerscript manuell einkopiere:

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9CAEFE60-74A0-42D4-A30F-574459C93EE3}
HKLM\SOFTWARE\Classes\CLSID\{9CAEFE60-74A0-42D4-A30F-574459C93EE3}
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yyptdwn
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp4c42

Files to delete:
C:\WINDOWS\system32\mp4c42.dll
C:\WINDOWS\system32\ddcyw.exe

Diesmal hat das Programm sogar soweit gearbeitet, daß es automatisch neugestartet ist, nachdem es mir gesagt hat, daß der 1. Schritt erledigt sei.

Nach dem Neustart ist Windows bis in die Icons auf dem Desktop gekommen und hat dann mehrmals automatisch neu gestartet.
Als mir das zuviel wurde, habe ich ihn ausgeschaltet und neu gestartet.

Dann lief er wieder einwandfrei. Aber KASPERSKY hat ununterbrochen alle 20 Sekunden die Virusmeldung rausgekrächtst.
Nachdem ich dann KASPERSKY abgeschltet habe, hat AntiVir angefangen ständig den Virus anzuzeigen.

Aveneger hat keine neue TextDatei angelegt und auch keine neue LOG-Datei
bzw. finde ich erstmal keine indem AVENGER Ordner.

Gruß
MrHiller

#12 ««
Öffne Notepad (editor)Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheint ein notepad editor.
Oder unter Start/Programme/Zubehör/Editor

2. kopiere den Code rein:

Zitat

echo ** This batch was originally written by OSC **
cd C:\WINDOWS\system32\
if exist C:\contents.txt del C:\contents.txt
echo ************************************>> C:\contents.txt
echo **These are the hidden files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:h >> c:\contents.txt echo ************************************>> C:\contents.txt
echo **These are the system files found**>> C:\contents.txt
echo ************************************>> C:\contents.txt
dir /a:s >> C:\contents.txt
attrib /d /s -s -r -h -a
start notepad c:\contents.txt
exit

3. Speichere die Datei als findtheother.bat auf dem Desktop
4. Doppel klick auf diese Datei findtheother.bat ((abkopieren und posten)
_______

««
poste den report
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi,

Hier ist der angeforderte LOG von findtheother.bat

************************************
**These are the hidden files found**
************************************
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\system32


Verzeichnis von C:\WINDOWS\system32

**These are the system files found**
************************************
Datentr?ger in Laufwerk C: ist VAIO
Volumeseriennummer: B06E-6CFF

Verzeichnis von C:\WINDOWS\system32


Mehr kam hier nicht raus.
Beim Abarbeiten der Batchdatei erschin am Ende eine Meldung "zugriff verweigert" oder so ähnlich und es stand irgendwas von "Flash....." oder ähnliches dabei.
Genau konnte ich das nicht lesen, da das Ablauffenster sofort verschand und die Listdatei aufgebaut wurde.


Als Ergebnis des Rootkit Durchlaufes habe ich als letzte Meldung erhalten:

"Scan complete. 69118 discrepancies found."

Danach wollte ich die Datei speichern und als Anhang schicken, da sie sehr lang zu sein schien.

Aber während des Abspeicherns hat sich das Programm aufgehäng un ist nun blockiert (im Taskmanager: "keine Rückmeldung " ).
Darauf habe ich es geshlossen, ohne nun den Scan schicken zu können.

Während des Suchlaufes hat Antivirus 2x unseren LieblingsVirus gemeldet.

Wär ja auch noch shöner, wenn mal was korrekt funktionieren würde.

Was kann ich noch tun?

Gruß
MrHiller,

#14 0.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste den text


1.
wenn du es in die killbox kopierst und so loeschst ???
C:\WINDOWS\system32\mp4c42.dll
http://virus-protect.org/killbox.html

2.
scanne mit antivirus im abgesicherten Modus, speichere den scanreport und poste ihn hier, damit ich sehe, was /wie/wo der scanner findet
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hallo,

Punkt 1

Ich habe blacklight laufen lassen. Aber ich bekam nach ner Weile die Meldung:
"Scan partially completed. (Error 8001 2)"
No hidden items found.

Hier ist die Textdatei:

12/07/06 23:37:31 [Info]: BlackLight Engine 1.0.47 initialized
12/07/06 23:37:31 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/07/06 23:37:31 [Note]: 7019 4
12/07/06 23:37:31 [Note]: 7005 0
12/07/06 23:37:31 [Error]: 6002 0
12/07/06 23:37:37 [Note]: 7006 0
12/07/06 23:37:37 [Note]: 7011 1596
12/07/06 23:37:37 [Note]: 8001 2
12/07/06 23:37:57 [Note]: FSRAW library version 1.7.1020
12/07/06 23:38:01 [Note]: 4020 6607 131072
12/07/06 23:38:01 [Note]: 4018 6607 131072
12/07/06 23:38:04 [Note]: 4020 6607 131072
12/07/06 23:38:04 [Note]: 4018 6607 131072
12/07/06 23:50:58 [Note]: 7006 0
12/07/06 23:50:58 [Note]: 7011 1596
12/07/06 23:50:58 [Note]: 8001 2
12/07/06 23:51:03 [Note]: FSRAW library version 1.7.1020
12/07/06 23:51:07 [Note]: 4020 6607 131072
12/07/06 23:51:07 [Note]: 4018 6607 131072
12/07/06 23:51:10 [Note]: 4020 6607 131072
12/07/06 23:51:10 [Note]: 4018 6607 131072

Punkt 2

Ich habe das programm killbox.exe gestartet und die Virusdatei eingegeben.
Das programm meldet: "File could not be deleted. Danch beomme ich nun alle ca. 20sec von Antivir die Virusmeldung, die ich jeweils mit "Zugriff verweigérn oder "Löschen" oder "Quarantäne" abschliesse. Sie kommt immer wieder, sodaß ich nun erstmal den computer neu starte, bevor ich den Rest meiner Hausaufgabe (Antivir laufen lassen) erledige.

Hier das AntiVir LOG:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Freitag, 8. Dezember 2006 01:36

Es wird nach 571968 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Ich
Computername: WOLFGANG

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 11/20/2006 20:29:33
AVSCAN.DLL : 7.0.0.45 41000 11/20/2006 20:29:33
LUKE.DLL : 7.0.0.47 118824 11/20/2006 20:29:34
LUKERES.DLL : 7.0.0.47 9256 11/20/2006 20:29:34
ANTIVIR0.VDF : 6.35.0.1 7371264 05/31/2006 16:06:51
ANTIVIR1.VDF : 6.36.1.24 2212864 11/14/2006 20:29:34
ANTIVIR2.VDF : 6.36.1.113 221696 12/01/2006 23:49:14
ANTIVIR3.VDF : 6.36.1.120 36864 12/02/2006 23:49:14
AVEWIN32.DLL : 7.2.0.46 1925632 12/03/2006 23:49:15
AVPREF.DLL : 7.0.0.2 23080 11/20/2006 20:29:33
AVREP.DLL : 6.36.1.111 983080 12/03/2006 23:49:14
AVRPBASE.DLL : 7.0.0.0 2162728 05/17/2006 10:56:20
AVPACK32.DLL : 7.2.0.5 368680 11/20/2006 20:29:35
AVREG.DLL : 6.31.0.90 27688 07/28/2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 09/27/2005 07:56:48
NETNW.DLL : 7.0.0.0 9768 11/20/2006 20:29:34
RCIMAGE.DLL : 7.0.0.74 1642536 11/20/2006 20:29:28
RCTEXT.DLL : 7.0.1.4 77864 11/20/2006 20:29:28

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Manuelle Auswahl
Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Bootsektoren..................: A,C,D,E,F,G,H,I
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Freitag, 8. Dezember 2006 01:36


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 4 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[HINWEIS] Im Laufwerk 'G:\' ist kein Datenträger eingelegt!
Bootsektor 'H:\'
[HINWEIS] Im Laufwerk 'H:\' ist kein Datenträger eingelegt!
Bootsektor 'I:\'
[HINWEIS] Im Laufwerk 'I:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 32 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\NTUSER.DAT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\MARAF.tmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IST0BYX\bg_ebiz_left[1].jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0IST0BYX\bg_ebiz_right[1].jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6FUXOBQH\clickinfingers[1].htm
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7J1J35KW\start[7].pl
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G5ER0HM3\wafooter[1].jpg
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I8AD39SS\leftline[2].gif
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB824141$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hh.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hhctrl.ocx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\html32.cnv
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\itircl.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\itss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\locator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ole32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\rpcrt4.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\rpcss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shdocvw.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shell32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srv.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\urlmon.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ828026$\msdxm.ocx
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ828026$\wmp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\mp4c42.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.ConHook.Gen
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad I:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Freitag, 8. Dezember 2006 08:40
Benötigte Zeit: 7:03:38 min

Der Suchlauf wurde vollständig durchgeführt.

8623 Verzeichnisse wurden überprüft
369165 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
9497 Archive wurden durchsucht
66 Warnungen
20 Hinweise

Ich hoff es hilft jetzt etwas weiter.

Gruß
MrHiller