Restbestaende von VirusBurster

#1 Ich habe mir gestern den Virusburster eingefangen und mit Hilfe von anderen Postings eigentlich auch wieder entfernt. Nur scheint mir ein rest uebriggeblieben zu sein. Ich bekomme regelmaessig eine Fehlermeldung von einem Dialer in italienisch und ab und an ein Securitywarning Popup. Ausserdem sehe ich immer wieder eine win**.tmp.exe in den Tasks laufen.

Hier ist mein Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:54, on 2006-12-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\oracle\ora92\bin\omtsreco.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\ZSF2FC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\Programme\Gemeinsame Dateien\{D084C5F7-0D3F-1031-0505-04070204002b}\Update.exe
C:\Programme\Trend Micro\OfficeScan Client\Pop3Trap.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Pelan\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 195.110.192.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.160.*;80.160.*;192.168.*;<local>
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{3084C~1\888Bar.dll
O3 - Toolbar: Safety Bar - {fbea0445-4c4a-4136-864a-c72a4a182a84} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PaperOfficeAlarm] K:\programme\paperoffice\PaperOfficeAlarm.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.chiliGREEN.com
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7199967E-8F94-4699-AE62-FD04E9CAF947}: NameServer = 195.110.192.1,195.110.192.2
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\ora92\bin\omtsreco.exe
O23 - Service: OracleOraHome92ClientCache - Unknown owner - C:\oracle\ora92\BIN\ONRSD.EXE
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)

Cleanup durchgefuehrt. ca. 200K Files geloescht - alles beim alten


Pelan - 06-12-06 14:26:50,39 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Pelan\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Inetget2
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{3084C5F7-0D3F-1031-0505-04070204002b}
C:\Programme\Gemeinsame Dateien\{D084C5F7-0D3F-1031-0505-04070204002b}


((((((((((((((((((((((((((((((( Files Created from 2006-11-06 to 2006-12-06 ))))))))))))))))))))))))))))))))))


2006-12-05 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\Pelan\Anwendungsdaten\Lavasoft
2006-12-05 14:13 <DIR> d-------- C:\Programme\Lavasoft
2006-12-05 13:37 2,798 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-05 12:12 42,516 --a------ C:\WINDOWS\system32\maycxhur.dll
2006-12-05 12:12 274,484 ---hs---- C:\WINDOWS\system32\pmkhh.dll
2006-12-05 12:12 1,174,188 ---hs---- C:\WINDOWS\system32\hhkmp.bak1
2006-12-05 12:07 72,704 --a------ C:\WINDOWS\system32\drvdaf.dll
2006-12-05 12:07 40,973 ---hs---- C:\WINDOWS\system32\cbxwusq.dll
2006-12-05 12:07 19,456 --a------ C:\WINDOWS\system32\wineru32.dll
2006-12-01 10:43 65,536 --a------ C:\NameDate.exe
2006-12-01 10:34 38 --a------ C:\test.bat
2006-11-08 10:40 <DIR> d-------- C:\Programme\pvas21017
2006-11-08 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\Pelan\Anwendungsdaten\Ulead Systems
2006-11-08 10:07 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2006-11-08 10:07 <DIR> d-------- C:\WINDOWS\system32\windows media
2006-11-08 10:07 <DIR> d-------- C:\WINDOWS\system32\Quicktime
2006-11-08 10:07 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2006-11-08 10:07 <DIR> d-------- C:\Programme\SmartSound Software
2006-11-08 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2006-11-08 10:06 <DIR> d-------- C:\Programme\Windows Media-Komponenten
2006-11-08 10:06 <DIR> d-------- C:\Programme\Ulead Systems
2006-11-08 10:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2006-11-08 10:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-06 14:30 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-06 13:16 -------- d-------- C:\Dokumente und Einstellungen\Pelan\Anwendungsdaten\Skype
2006-12-05 14:10 -------- d-------- C:\Programme\Spybot - Search & Destroy
2006-11-23 14:18 -------- d-------- C:\Dokumente und Einstellungen\Pelan\Anwendungsdaten\AdobeUM
2006-11-08 10:07 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-08 10:06 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-11-06 14:29 -------- d-------- C:\Programme\Network Print Monitor
2006-11-02 12:55 -------- d-------- C:\Programme\MapInfo MapX
2006-11-02 12:54 -------- d-------- C:\Programme\Seagate Software
2006-11-02 11:23 -------- d-------- C:\Dokumente und Einstellungen\Pelan\Anwendungsdaten\Identities
2006-10-10 14:02 -------- d-------- C:\Programme\NetworkView


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Power2GoExpress"=""
"PaperOfficeAlarm"="K:\\programme\\paperoffice\\PaperOfficeAlarm.exe"
"H/PC Connection Agent"="\"C:\\PROGRA~1\\MI3AA1~1\\wcescomm.exe\""
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"mmtask"="c:\\Program Files\\MusicMatch\\MusicMatch Jukebox\\mmtask.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"OfficeScanNT Monitor"="\"C:\\Programme\\Trend Micro\\OfficeScan Client\\pccntmon.exe\" -HideWindow"
"WinVNC"="\"C:\\Programme\\TightVNC\\WinVNC.exe\" -servicehelper"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineru32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-06 14:30:59.29
C:\ComboFix.txt ... 06-12-06 14:30

Datfind.bat

system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\system32

2006-12-06 14:39 1.510.166 hhkmp.ini
2006-12-06 14:34 4.452 nvapps.xml
2006-12-05 13:37 0 tmp.txt
2006-12-05 13:37 2.798 tmp.reg
2006-12-05 13:23 143 mcrh.tmp
2006-12-05 12:46 12.598 wpa.dbl
2006-12-05 12:12 42.516 maycxhur.dll
2006-12-05 12:12 1.174.188 hhkmp.bak1
2006-12-05 12:12 274.484 pmkhh.dll
2006-12-05 12:07 72.704 drvdaf.dll
2006-12-05 12:07 40.973 cbxwusq.dll
2006-12-05 12:07 19.456 wineru32.dll
2006-11-20 08:00 232.776 FNTCACHE.DAT
2006-10-30 07:57 380.350 perfh009.dat
2006-10-30 07:57 52.764 perfc009.dat
2006-10-30 07:57 391.000 perfh007.dat
2006-10-30 07:57 63.580 perfc007.dat
2006-10-30 07:57 897.778 PerfStringBackup.INI

systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\DOKUME~1\Pelan\LOKALE~1\Temp

2006-12-06 14:34 286 WCESLog.log
2006-12-06 14:34 468 WCESCOMM.LOG
2006-12-06 14:33 574 jusched.log
3 Datei(en) 1.328 Bytes
0 Verzeichnis(se), 165.783.273.472 Bytes frei

system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS

2006-12-06 14:35 435.538 WindowsUpdate.log
2006-12-06 14:30 0 0.log
2006-12-06 14:29 2.048 bootstat.dat
2006-12-06 12:22 32.566 SchedLgU.Txt
2006-12-05 13:25 1.155 setupact.log
2006-11-30 11:28 858.074 setupapi.log
2006-11-20 07:59 50 wiaservc.log
2006-11-20 07:59 216 wiadebug.log
2006-11-08 10:54 1.034 PVAStrumento.ini
2006-11-08 10:07 50.972 wmsetup.log
2006-11-08 10:07 316.640 WMSysPr9.prx
2006-11-06 14:12 50 group.ini
2006-11-06 14:12 794 Common.ini
2006-11-02 12:56 954 ODBC.INI
2006-11-02 12:56 5.189 ODBCINST.INI
2006-11-01 07:06 25 upcommv8.mtx
2006-10-18 09:01 1.905 diagwrn.xml
2006-10-18 09:01 1.905 diagerr.xml
2006-10-18 09:01 0 setuperr.log
2006-10-03 09:48 8.791 client.ini
2006-09-12 08:11 8.799 client.test
2006-09-11 10:41 69 NeroDigital.ini
2006-09-06 11:21 24 pccntmon.INI
2006-09-06 11:21 6.758 cfgall.ini

temp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\Temp

2006-12-06 14:29 16.384 Perflib_Perfdata_57c.dat
2004-09-27 22:47 172.099 DPEC7.EXE
2 Datei(en) 188.483 Bytes
0 Verzeichnis(se), 165.783.265.280 Bytes frei

down.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2006-03-27 12:00 5.019 swflash.inf
2005-06-03 03:49 752 jinstall-1_5_0_04.inf
2004-11-12 09:49 65 desktop.ini
2004-09-29 12:21 740 jinstall-1_4_2_06.inf
2004-05-19 12:01 678 mcinsctl.inf
2004-01-27 13:49 691 McGDMgr.inf
2003-06-30 22:41 1.689 WMV9VCM.inf
2002-07-25 17:13 24.576 dwusplay.dll
2002-07-25 17:13 196.608 dwusplay.exe
2002-07-25 17:05 172.032 isusweb.dll
10 Datei(en) 402.850 Bytes
0 Verzeichnis(se), 165.783.265.280 Bytes frei



sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\

2006-12-06 14:46 0 sys.txt
2006-12-06 14:46 761 down.txt
2006-12-06 14:41 337 tmp.txt
2006-12-06 14:41 6.417 system.txt
2006-12-06 14:40 392 systemtemp.txt
2006-12-06 14:39 104.858 system32.txt
2006-12-06 14:30 7.285 ComboFix.txt
2006-12-06 14:29 1.073.270.784 hiberfil.sys
2006-12-06 14:29 1.610.612.736 pagefile.sys
2006-12-05 13:37 1.599 rapport.txt
2006-12-01 10:45 0 test.txt
2006-12-01 10:35 38 test.bat
2006-11-28 14:44 660.272.769 wOw-1.12.x-to-2.0.1-dede-patch.zip
2006-11-24 21:11 65.536 NameDate.exe
2006-11-08 10:47 1.935 VTS_01_1.txt
2006-11-08 10:47 27.856.896 VTS_01_1_00.ac3
2006-11-08 10:47 1.001.998.056 VTS_01_1_00.mpv
2006-11-06 14:12 8 bi-admin.dat
2006-05-08 13:25 71 abc.txt
2005-12-27 08:29 197 cibbrwinstall.log
2005-08-16 15:36 204.800 Zeiterfassung_2005_ab_1605.xls
2005-02-04 11:41 21 tmuninst.ini
2004-12-20 13:15 211 boot.ini
2004-11-12 10:54 668.002 391102.TXT
2004-11-12 09:50 0 MSDOS.SYS
2004-11-12 09:50 0 IO.SYS
2004-11-12 09:50 0 CONFIG.SYS
2004-11-12 09:50 0 AUTOEXEC.BAT
2004-08-04 13:00 4.952 bootfont.bin
2004-08-04 13:00 251.184 ntldr
2004-08-04 13:00 47.564 NTDETECT.COM
31 Datei(en) 4.375.377.409 Bytes
0 Verzeichnis(se), 165.783.257.088 Bytes frei

Vielen Dank fuer jede Hilfe im voraus.

Schoene Gruesse

#2 Dagobert444

»»
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fbea0445-4c4a-4136-864a-c72a4a182a84}

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineru32

Files to delete:
C:\WINDOWS\system32\hhkmp.ini
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\maycxhur.dll
C:\WINDOWS\system32\hhkmp.bak1
C:\WINDOWS\system32\pmkhh.dll
C:\WINDOWS\system32\drvdaf.dll
C:\WINDOWS\system32\cbxwusq.dll
C:\WINDOWS\system32\wineru32.dll

Folders to delete:
C:\Programme\Gemeinsame Dateien\{3084C5F7-0D3F-1031-0505-04070204002b}
C:\Programme\Gemeinsame Dateien\{D084C5F7-0D3F-1031-0505-04070204002b}

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
+
noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

danke fuer die schnelle Antwort.

Hier meine Ergebnisse:

vundofix hat etwas gefunden und entfernt.

Avenger hat seinen Job mit einigen Fehlermeldungen beendet

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jl^jiywj

*******************

Script file located at: \??\C:\WINDOWS\lpxranth.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\hhkmp.ini not found!
Deletion of file C:\WINDOWS\system32\hhkmp.ini failed!

Could not process line:
C:\WINDOWS\system32\hhkmp.ini
Status: 0xc0000034

File C:\WINDOWS\system32\tmp.txt deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\maycxhur.dll deleted successfully.


File C:\WINDOWS\system32\hhkmp.bak1 not found!
Deletion of file C:\WINDOWS\system32\hhkmp.bak1 failed!

Could not process line:
C:\WINDOWS\system32\hhkmp.bak1
Status: 0xc0000034



File C:\WINDOWS\system32\pmkhh.dll not found!
Deletion of file C:\WINDOWS\system32\pmkhh.dll failed!

Could not process line:
C:\WINDOWS\system32\pmkhh.dll
Status: 0xc0000034

File C:\WINDOWS\system32\drvdaf.dll deleted successfully.
File C:\WINDOWS\system32\cbxwusq.dll deleted successfully.


File C:\WINDOWS\system32\wineru32.dll not found!
Deletion of file C:\WINDOWS\system32\wineru32.dll failed!

Could not process line:
C:\WINDOWS\system32\wineru32.dll
Status: 0xc0000034



Folder C:\Programme\Gemeinsame Dateien\{3084C5F7-0D3F-1031-0505-04070204002b} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{3084C5F7-0D3F-1031-0505-04070204002b} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{3084C5F7-0D3F-1031-0505-04070204002b}
Status: 0xc0000034



Folder C:\Programme\Gemeinsame Dateien\{D084C5F7-0D3F-1031-0505-04070204002b} not found!
Deletion of folder C:\Programme\Gemeinsame Dateien\{D084C5F7-0D3F-1031-0505-04070204002b} failed!

Could not process line:
C:\Programme\Gemeinsame Dateien\{D084C5F7-0D3F-1031-0505-04070204002b}
Status: 0xc0000034



Could not delete registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{C004DEC2-2623-438e-9CA2-C9043AB28508}
Deletion of registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{C004DEC2-2623-438e-9CA2-C9043AB28508} failed!
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fbea0445-4c4a-4136-864a-c72a4a182a84} deleted successfully.


Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafetyBar failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmkhh failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineru32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wineru32 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Superantispyware: Ich habe mich an die Anweisung auf der Homepage gehalten, gescannt, in Quarantaene gestellt und von dort entfernt. 2. Scan hat nichts mehr entdeckt.

Hier die neuen datfindbatlogs

system32.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\system32

2006-12-06 16:37 4.452 nvapps.xml
2006-12-06 16:29 0 CMMGR32.EXE
2006-12-05 13:37 2.798 tmp.reg
2006-12-05 12:46 12.598 wpa.dbl
2006-11-20 08:00 232.776 FNTCACHE.DAT
2006-10-30 07:57 380.350 perfh009.dat
2006-10-30 07:57 52.764 perfc009.dat
2006-10-30 07:57 391.000 perfh007.dat
2006-10-30 07:57 63.580 perfc007.dat
2006-10-30 07:57 897.778 PerfStringBackup.INI
2006-08-11 18:35 4.276 divxsm.tlb
2006-08-11 18:35 520.192 DivXsm.exe
2006-08-11 18:35 10.863 dsm_ja.qm
2006-08-11 18:35 15.507 dsm_de.qm
2006-08-11 18:35 15.299 dsm_fr.qm
2006-08-11 18:35 3.596.288 qt-dx331.dll
2006-08-11 18:35 421.888 pxdrv.dll
2006-08-11 18:35 108.544 pxcpyi64.exe
2006-08-11 18:35 109.568 pxinsi64.exe
2006-08-11 18:35 172.032 pxmas.dll
2006-08-11 18:35 372.736 px.dll
2006-08-11 18:35 56.832 pxcpya64.exe
2006-08-11 18:35 61.440 pxhpinst.exe
2006-08-11 18:35 56.320 pxinsa64.exe
2006-08-11 18:35 339.968 pxwave.dll
2006-08-11 18:35 28.672 vxblock.dll
2006-08-11 18:35 1.044.480 libdivx.dll
2006-08-11 18:35 200.704 ssldivx.dll
2006-08-11 18:31 73.728 dpl100.dll
2006-08-11 18:31 196.608 dtu100.dll
2006-08-11 18:31 53.248 dpuGUI10.dll
2006-08-11 18:31 593.920 dpuGUI11.dll
2006-08-11 18:31 344.064 dpus11.dll
2006-08-11 18:31 57.344 dpv11.dll
2006-08-11 18:31 294.912 dpu11.dll
2006-08-11 18:31 294.912 dpu10.dll
2006-08-11 18:31 778.240 divx_xx07.dll
2006-08-11 18:31 778.240 divx_xx0c.dll
2006-08-11 18:31 761.856 divx_xx11.dll
2006-08-11 18:31 620.180 DivX.dll
2006-08-11 18:31 704.512 divxdec.ax
2006-08-11 18:31 352.401 DivXMedia.ax
2006-08-11 18:31 12.288 DivXWMPExtType.dll
2006-08-11 18:31 118.784 DivXCodecUpdateChecker.exe
2006-08-11 18:31 8.523 dpude.qm
2006-08-11 18:31 3.136 dtu_de.qm


systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\DOKUME~1\Pelan\LOKALE~1\Temp

2006-12-06 16:38 2.296 jusched.log
2006-12-06 16:37 1.135 WCESLog.log
2006-12-06 16:37 468 WCESCOMM.LOG
2006-12-06 15:31 32.768 ~DF33FA.tmp
2006-12-06 14:58 16.384 5.tmp
2006-12-06 14:58 512 ~DF89EE.tmp
2006-12-06 14:58 16.384 ~DF644A.tmp
2006-12-06 14:58 32.768 ~DF5A64.tmp
2006-02-17 16:55 143.360 SSUPDATE.EXE
9 Datei(en) 246.075 Bytes
0 Verzeichnis(se), 165.749.317.632 Bytes frei


system.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS

2006-12-06 16:39 441.697 WindowsUpdate.log
2006-12-06 16:35 0 0.log
2006-12-06 16:34 2.048 bootstat.dat
2006-12-06 16:33 32.566 SchedLgU.Txt
2006-12-05 13:25 1.155 setupact.log
2006-11-30 11:28 858.074 setupapi.log
2006-11-20 07:59 50 wiaservc.log
2006-11-20 07:59 216 wiadebug.log
2006-11-08 10:54 1.034 PVAStrumento.ini
2006-11-08 10:07 50.972 wmsetup.log
2006-11-08 10:07 316.640 WMSysPr9.prx
2006-11-06 14:12 50 group.ini
2006-11-06 14:12 794 Common.ini
2006-11-02 12:56 954 ODBC.INI
2006-11-02 12:56 5.189 ODBCINST.INI
2006-11-01 07:06 25 upcommv8.mtx
2006-10-18 09:01 1.905 diagwrn.xml
2006-10-18 09:01 1.905 diagerr.xml
2006-10-18 09:01 0 setuperr.log
2006-10-03 09:48 8.791 client.ini
2006-09-12 08:11 8.799 client.test
2006-09-11 10:41 69 NeroDigital.ini
2006-09-06 11:21 24 pccntmon.INI
2006-09-06 11:21 6.758 cfgall.ini
2006-08-23 13:46 8.786 client.live


tmp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\Temp

2006-12-06 16:34 16.384 Perflib_Perfdata_534.dat
2006-12-06 16:16 16.384 Perflib_Perfdata_570.dat
2006-12-06 16:10 16.384 Perflib_Perfdata_558.dat
2006-12-06 15:51 19.456 winC.tmp.exe
2006-12-06 15:31 25.120 iddB.tmp.exe
2006-12-06 15:31 52.224 winA.tmp.exe
2006-12-06 15:17 944 win7.tmp
2006-12-06 15:11 25.120 idd6.tmp.exe
2006-12-06 14:49 25.120 idd4.tmp.exe
2006-12-06 14:49 52.224 win3.tmp.exe
2006-12-06 14:29 16.384 Perflib_Perfdata_57c.dat
2004-09-27 22:47 172.099 DPEC7.EXE
2004-09-27 22:47 172.099 ZSFF64.EXE
13 Datei(en) 609.942 Bytes
0 Verzeichnis(se), 165.749.313.536 Bytes frei


down.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2006-03-27 12:00 5.019 swflash.inf
2005-06-03 03:49 752 jinstall-1_5_0_04.inf
2004-11-12 09:49 65 desktop.ini
2004-09-29 12:21 740 jinstall-1_4_2_06.inf
2004-05-19 12:01 678 mcinsctl.inf
2004-01-27 13:49 691 McGDMgr.inf
2003-06-30 22:41 1.689 WMV9VCM.inf
2002-07-25 17:13 24.576 dwusplay.dll
2002-07-25 17:13 196.608 dwusplay.exe
2002-07-25 17:05 172.032 isusweb.dll
10 Datei(en) 402.850 Bytes
0 Verzeichnis(se), 165.749.313.536 Bytes frei


sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\

2006-12-06 16:54 0 sys.txt
2006-12-06 16:54 761 down.txt
2006-12-06 16:54 917 tmp.txt
2006-12-06 16:53 6.417 system.txt
2006-12-06 16:53 681 systemtemp.txt
2006-12-06 16:52 104.477 system32.txt
2006-12-06 16:34 1.073.270.784 hiberfil.sys
2006-12-06 16:34 1.610.612.736 pagefile.sys
2006-12-06 16:15 6.596 avenger.txt
2006-12-06 16:10 776 VundoFix.txt
2006-12-06 14:30 7.285 ComboFix.txt
2006-12-05 13:37 1.599 rapport.txt
2006-12-01 10:45 0 test.txt
2006-12-01 10:35 38 test.bat
2006-11-28 14:44 660.272.769 wOw-1.12.x-to-2.0.1-dede-patch.zip
2006-11-24 21:11 65.536 NameDate.exe
2006-11-08 10:47 1.935 VTS_01_1.txt
2006-11-08 10:47 27.856.896 VTS_01_1_00.ac3
2006-11-08 10:47 1.001.998.056 VTS_01_1_00.mpv
2006-11-06 14:12 8 bi-admin.dat
2006-05-08 13:25 71 abc.txt
2005-12-27 08:29 197 cibbrwinstall.log
2005-08-16 15:36 204.800 Zeiterfassung_2005_ab_1605.xls
2005-02-04 11:41 21 tmuninst.ini
2004-12-20 13:15 211 boot.ini
2004-11-12 10:54 668.002 391102.TXT
2004-11-12 09:50 0 MSDOS.SYS
2004-11-12 09:50 0 IO.SYS
2004-11-12 09:50 0 CONFIG.SYS
2004-11-12 09:50 0 AUTOEXEC.BAT
2004-08-04 13:00 4.952 bootfont.bin
2004-08-04 13:00 251.184 ntldr
2004-08-04 13:00 47.564 NTDETECT.COM
33 Datei(en) 4.375.385.269 Bytes
0 Verzeichnis(se), 165.749.313.536 Bytes frei

Danke nochmals.

Schoene Gruesse
Rene

#4 Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\5.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF89EE.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF644A.tmp
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\~DF5A64.tmp
C:\WINDOWS\Temp\winC.tmp.exe
C:\WINDOWS\Temp\iddB.tmp.exe
C:\WINDOWS\Temp\winA.tmp.exe
C:\WINDOWS\Temp\win7.tmp
C:\WINDOWS\Temp\idd6.tmp.exe
C:\WINDOWS\Temp\idd4.tmp.exe
C:\WINDOWS\Temp\win3.tmp.exe

Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

__________

Sie auf Start, zeigen auf Programme, zeigen auf Zubehör, zeigen auf Systemprogramme und klicken anschließend auf Datenträgerbereinigung.

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

___________

**
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina

Avengerlog:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\qdsrkwsv

*******************

Script file located at: \??\C:\WINDOWS\system32\rtdvdhjv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Dokumente und Einstellungen\Pelan\Lokale Einstellungen\Temp\5.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Pelan\Lokale Einstellungen\Temp\~DF89EE.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Pelan\Lokale Einstellungen\Temp\~DF644A.tmp deleted successfully.
File C:\Dokumente und Einstellungen\Pelan\Lokale Einstellungen\Temp\~DF5A64.tmp deleted successfully.
File C:\WINDOWS\Temp\winC.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\iddB.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\winA.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win7.tmp deleted successfully.
File C:\WINDOWS\Temp\idd6.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\idd4.tmp.exe deleted successfully.
File C:\WINDOWS\Temp\win3.tmp.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ergebnis von del %windir%\temp\*.*

perflib_perfdata_538.dat --- Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird
ul3c17.exe Zugriff verweigert. --- Prozess haendisch im Taskmanager gekillt dann konnte die Datei nicht mehr gefunden werden

Datentraegerbereinigung durchgefuehrt.

Logs von datfindbat

system32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\system32

2006-12-07 08:14 4.452 nvapps.xml
2006-12-06 16:29 0 CMMGR32.EXE
2006-12-05 13:37 2.798 tmp.reg
2006-12-05 12:46 12.598 wpa.dbl
2006-11-20 08:00 232.776 FNTCACHE.DAT
2006-10-30 07:57 380.350 perfh009.dat
2006-10-30 07:57 52.764 perfc009.dat
2006-10-30 07:57 391.000 perfh007.dat
2006-10-30 07:57 63.580 perfc007.dat
2006-10-30 07:57 897.778 PerfStringBackup.INI
2006-08-11 18:35 4.276 divxsm.tlb
2006-08-11 18:35 520.192 DivXsm.exe
2006-08-11 18:35 10.863 dsm_ja.qm
2006-08-11 18:35 15.507 dsm_de.qm
2006-08-11 18:35 15.299 dsm_fr.qm
2006-08-11 18:35 3.596.288 qt-dx331.dll
2006-08-11 18:35 421.888 pxdrv.dll
2006-08-11 18:35 108.544 pxcpyi64.exe
2006-08-11 18:35 109.568 pxinsi64.exe
2006-08-11 18:35 172.032 pxmas.dll
2006-08-11 18:35 372.736 px.dll
2006-08-11 18:35 56.832 pxcpya64.exe
2006-08-11 18:35 61.440 pxhpinst.exe
2006-08-11 18:35 56.320 pxinsa64.exe
2006-08-11 18:35 339.968 pxwave.dll
2006-08-11 18:35 28.672 vxblock.dll
2006-08-11 18:35 1.044.480 libdivx.dll
2006-08-11 18:35 200.704 ssldivx.dll
2006-08-11 18:31 73.728 dpl100.dll
2006-08-11 18:31 196.608 dtu100.dll
2006-08-11 18:31 53.248 dpuGUI10.dll
2006-08-11 18:31 593.920 dpuGUI11.dll
2006-08-11 18:31 344.064 dpus11.dll
2006-08-11 18:31 57.344 dpv11.dll
2006-08-11 18:31 294.912 dpu11.dll
2006-08-11 18:31 294.912 dpu10.dll
2006-08-11 18:31 778.240 divx_xx07.dll
2006-08-11 18:31 778.240 divx_xx0c.dll
2006-08-11 18:31 761.856 divx_xx11.dll
2006-08-11 18:31 620.180 DivX.dll
2006-08-11 18:31 704.512 divxdec.ax
2006-08-11 18:31 352.401 DivXMedia.ax
2006-08-11 18:31 12.288 DivXWMPExtType.dll
2006-08-11 18:31 118.784 DivXCodecUpdateChecker.exe
2006-08-11 18:31 8.523 dpude.qm
2006-08-11 18:31 3.136 dtu_de.qm

systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\DOKUME~1\Pelan\LOKALE~1\Temp

2006-12-07 08:13 2.870 jusched.log
2006-12-07 08:13 1.418 WCESLog.log
2006-12-07 08:13 468 WCESCOMM.LOG
2006-12-06 15:31 32.768 ~DF33FA.tmp
2006-02-17 16:55 143.360 SSUPDATE.EXE
5 Datei(en) 180.884 Bytes
0 Verzeichnis(se), 165.756.448.768 Bytes frei


system.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS

2006-12-07 08:19 443.941 WindowsUpdate.log
2006-12-07 08:17 1.215 setupact.log
2006-12-07 08:12 0 0.log
2006-12-07 08:12 2.048 bootstat.dat
2006-12-07 08:11 32.566 SchedLgU.Txt
2006-11-30 11:28 858.074 setupapi.log
2006-11-20 07:59 50 wiaservc.log
2006-11-20 07:59 216 wiadebug.log
2006-11-08 10:54 1.034 PVAStrumento.ini
2006-11-08 10:07 50.972 wmsetup.log
2006-11-08 10:07 316.640 WMSysPr9.prx
2006-11-06 14:12 50 group.ini
2006-11-06 14:12 794 Common.ini
2006-11-02 12:56 954 ODBC.INI
2006-11-02 12:56 5.189 ODBCINST.INI
2006-11-01 07:06 25 upcommv8.mtx
2006-10-18 09:01 1.905 diagwrn.xml
2006-10-18 09:01 1.905 diagerr.xml
2006-10-18 09:01 0 setuperr.log
2006-10-03 09:48 8.791 client.ini
2006-09-12 08:11 8.799 client.test
2006-09-11 10:41 69 NeroDigital.ini
2006-09-06 11:21 24 pccntmon.INI
2006-09-06 11:21 6.758 cfgall.ini

tmp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\Temp

2006-12-07 08:12 16.384 Perflib_Perfdata_538.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 165.756.448.768 Bytes frei

down.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2006-03-27 12:00 5.019 swflash.inf
2005-06-03 03:49 752 jinstall-1_5_0_04.inf
2004-11-12 09:49 65 desktop.ini
2004-09-29 12:21 740 jinstall-1_4_2_06.inf
2004-05-19 12:01 678 mcinsctl.inf
2004-01-27 13:49 691 McGDMgr.inf
2003-06-30 22:41 1.689 WMV9VCM.inf
2002-07-25 17:13 24.576 dwusplay.dll
2002-07-25 17:13 196.608 dwusplay.exe
2002-07-25 17:05 172.032 isusweb.dll
10 Datei(en) 402.850 Bytes
0 Verzeichnis(se), 165.756.448.768 Bytes frei


sys.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D084-C5F7

Verzeichnis von C:\

2006-12-07 08:24 0 sys.txt
2006-12-07 08:24 761 down.txt
2006-12-07 08:24 290 tmp.txt
2006-12-07 08:23 6.417 system.txt
2006-12-07 08:23 491 systemtemp.txt
2006-12-07 08:22 104.477 system32.txt
2006-12-07 08:12 1.073.270.784 hiberfil.sys
2006-12-07 08:12 1.610.612.736 pagefile.sys
2006-12-07 08:12 2.576 avenger.txt
2006-12-06 16:10 776 VundoFix.txt
2006-12-06 14:30 7.285 ComboFix.txt
2006-12-05 13:37 1.599 rapport.txt
2006-12-01 10:45 0 test.txt
2006-12-01 10:35 38 test.bat
2006-11-28 14:44 660.272.769 wOw-1.12.x-to-2.0.1-dede-patch.zip
2006-11-24 21:11 65.536 NameDate.exe
2006-11-08 10:47 1.935 VTS_01_1.txt
2006-11-08 10:47 27.856.896 VTS_01_1_00.ac3
2006-11-08 10:47 1.001.998.056 VTS_01_1_00.mpv
2006-11-06 14:12 8 bi-admin.dat

Danke

Schoene Gruesse
Rene

#6 mache noch einen Onlinescan mit panda oder ewido und poste den report hier
http://virus-protect.org/onlinescan.html
+
poste das neue Log vom HIjackTHis

_________

falls noch vorhanden: loeschen
C:\WINDOWS\Temp\DPEC7.EXE
C:\WINDOWS\Temp\ZSFF64.EXE
__________
MfG Sabina

rund um die PC-Sicherheit