TR/Dldr.Swizzor.Gen entfernen!

#1 Hi,

also ich habe seit einigen Tagen den TR/Dldr.Swizzor.Gen Trojaner. Alle Maßnahmen ihn zu entfernen liefen schief.

AntiVir findet permanent nach einiger Zeit (zw. 30-60 min.) eine infizierte .exe Datei im Temp Ordner.

Cleanup wurde bereits angewendet.
Jetzt mal zu den Auswertungen von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:30, on 07.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Virtual CD v8\System\VC8Play.exe
C:\Programme\Lautstärke\VolumeOSD.exe
C:\Programme\RMClock\RMClock.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Folder Shield\FSService.exe
C:\Programme\Folder Shield\fsp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [VC8Player] C:\Programme\Virtual CD v8\System\VC8Play.exe
O4 - HKCU\..\Run: [VolumeOSD] C:\Programme\Lautstärke\VolumeOSD.exe
O4 - HKCU\..\Run: [RMClock] C:\Programme\RMClock\RMClock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [loadtrust] C:\DOKUME~1\Hadixp\ANWEND~1\INTERS~1\ANTIOPENDRIVE.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: MenuAppServer.lnk = C:\Dokumente und Einstellungen\Hadixp\Lokale Einstellungen\Temp\Rar$EX00.234\MenuApp.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O8 - Extra context menu item: Download All by FlashGet - C:\DOKUME~1\Hadixp\LOKALE~1\Temp\RarSFX0\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\DOKUME~1\Hadixp\LOKALE~1\Temp\RarSFX0\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://hadixp.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O16 - DPF: {CDEE9530-F274-4AA4-B4C8-EE15DC2D7E91} (Junction Class) - http://game-thing.com/junction_dll.php
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FSService - Unknown owner - C:\Programme\Folder Shield\FSService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Auswertungen von Combofix

Hadixp - 06-12-07 12:21:13,85 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Downloads"

((((((((((((((((((((((((((((((( Files Created from 2006-11-07 to 2006-12-07 ))))))))))))))))))))))))))))))))))


2006-12-07 12:15 <DIR> d-------- C:\Programme\CleanUp!
2006-12-06 22:27 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2006-12-06 21:56 811,008 --a------ C:\WINDOWS\system32\NCTAudioCDGrabber2.dll
2006-12-06 21:56 643,072 --a------ C:\WINDOWS\system32\DVDProX2.dll
2006-12-06 21:56 315,392 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll
2006-12-06 21:56 11,520 --a------ C:\WINDOWS\system32\drivers\HHCDHelp.sys
2006-12-06 21:56 100,352 --a------ C:\WINDOWS\system32\drivers\vdrv8000.sys
2006-12-06 21:56 1,843,200 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2006-12-06 21:56 1,044,480 --------- C:\WINDOWS\system32\ROBOEX32.DLL
2006-12-06 21:45 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-12-06 21:45 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2006-12-06 21:27 <DIR> d-------- C:\Programme\Virtual CD v8
2006-12-06 14:04 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2006-12-06 14:04 303,104 --------- C:\WINDOWS\Setup1.exe
2006-12-06 14:04 <DIR> d-------- C:\Programme\Vokabeltrainer
2006-12-05 22:51 173,696 --a------ C:\WINDOWS\system32\drivers\philcam2.sys
2006-12-05 22:51 121,344 --a------ C:\WINDOWS\system\phvfwext.dll
2006-12-05 22:04 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2006-12-05 22:04 54,272 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2006-12-05 22:04 236,032 --a------ C:\WINDOWS\system\camext20.dll
2006-12-05 22:04 223,232 --a------ C:\WINDOWS\system32\drivers\camdrv21.sys
2006-12-05 22:03 <DIR> d-------- C:\Programme\webcamXP
2006-12-05 21:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2006-12-05 21:24 <DIR> d-------- C:\Programme\Real
2006-12-05 14:08 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2006-12-05 14:08 <DIR> d-------- C:\Programme\Fraps
2006-12-05 11:50 <DIR> d-------- C:\WINDOWS\Hewlett-Packard
2006-12-05 10:41 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2006-12-04 13:49 <DIR> d-------- C:\Programme\MSXML 4.0
2006-12-04 13:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bird Mapi Ford Way
2006-12-04 13:18 <DIR> d-------- C:\WINDOWS\Prefetch
2006-12-04 12:48 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2006-12-04 12:45 <DIR> d-------- C:\WINDOWS\provisioning
2006-12-03 15:20 <DIR> d-------- C:\Programme\Super Internet TV
2006-12-01 23:49 <DIR> d-------- C:\Programme\inter start
2006-12-01 23:49 <DIR> d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\inter start
2006-12-01 23:48 <DIR> d-------- C:\Programme\Download Plugin
2006-12-01 22:16 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-11-28 14:05 21,840 --a------ C:\WINDOWS\system32\SIntfNT.dll
2006-11-28 14:05 17,212 --a------ C:\WINDOWS\system32\SIntf32.dll
2006-11-28 14:05 12,067 --a------ C:\WINDOWS\system32\SIntf16.dll
2006-11-28 13:56 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2006-11-28 13:56 102,400 --a------ C:\WINDOWS\DIIUnin.exe
2006-11-27 23:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\NSV
2006-11-27 23:36 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-11-27 23:36 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-11-27 23:36 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-11-27 23:36 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-27 23:36 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-11-27 23:36 <DIR> d-------- C:\Programme\Winamp
2006-11-27 21:46 87,040 --a------ C:\WINDOWS\UnGins.exe
2006-11-27 21:46 473,600 --a------ C:\WINDOWS\system32\Harmony.dll
2006-11-27 21:46 237,568 --a------ C:\WINDOWS\system32\Unlha32.dll
2006-11-27 21:46 <DIR> d-------- C:\Programme\ASCII
2006-11-26 22:21 15,440 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2006-11-26 22:21 <DIR> d-------- C:\Programme\Hamachi
2006-11-26 22:21 <DIR> d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Hamachi
2006-11-26 15:54 85,376 --a------ C:\WINDOWS\system32\drivers\nabtsfec.sys
2006-11-26 15:54 60,928 --a------ C:\WINDOWS\system32\dpnhupnp.dll
2006-11-26 15:54 59,904 --a------ C:\WINDOWS\system32\devenum.dll
2006-11-26 15:54 51,328 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2006-11-26 15:54 51,200 --a------ C:\WINDOWS\system32\wstdecod.dll
2006-11-26 15:54 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-11-26 15:54 367,616 --a------ C:\WINDOWS\system32\dsound.dll
2006-11-26 15:54 363,520 --a------ C:\WINDOWS\system32\psisdecd.dll
2006-11-26 15:54 266,240 --a------ C:\WINDOWS\system32\ddraw.dll
2006-11-26 15:54 19,328 --a------ C:\WINDOWS\system32\drivers\wstcodec.sys
2006-11-26 15:54 17,408 --a------ C:\WINDOWS\system32\msyuv.dll
2006-11-26 15:54 17,024 --a------ C:\WINDOWS\system32\drivers\ccdecode.sys
2006-11-26 15:54 15,360 --a------ C:\WINDOWS\system32\drivers\streamip.sys
2006-11-26 15:54 15,360 --a------ C:\WINDOWS\system32\drivers\mpe.sys
2006-11-26 15:54 14,336 --a------ C:\WINDOWS\system32\msdmo.dll
2006-11-26 15:54 11,776 --a------ C:\WINDOWS\system32\drivers\bdasup.sys
2006-11-26 15:54 11,136 --a------ C:\WINDOWS\system32\drivers\slip.sys
2006-11-26 15:54 10,880 --a------ C:\WINDOWS\system32\drivers\ndisip.sys
2006-11-26 15:54 1,432,576 --a------ C:\WINDOWS\system32\msvidctl.dll
2006-11-26 14:58 89,360 -ra------ C:\WINDOWS\system32\VB5DB.DLL
2006-11-26 14:58 69,632 -ra------ C:\WINDOWS\system32\xmltok.dll
2006-11-26 14:58 36,864 -ra------ C:\WINDOWS\system32\xmlparse.dll
2006-11-26 14:58 26,096 -ra------ C:\WINDOWS\system32\xmlinst.exe
2006-11-26 14:58 <DIR> d-------- C:\Programme\Ubi Soft
2006-11-16 09:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Application Data
2006-11-09 19:12 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-11-09 19:12 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-11-08 07:40 <DIR> d-------- C:\Programme\MyPhoneExplorer
2006-11-08 07:40 <DIR> d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\MyPhoneExplorer
2006-11-07 08:49 <DIR> d-------- C:\Programme\Far
2006-11-07 08:02 8,704 --a------ C:\WINDOWS\system32\drivers\ggsemc.sys
2006-11-07 07:59 <DIR> d--h----- C:\Programme\Zero G Registry


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-07 12:19 -------- d-------- C:\Programme\RMClock
2006-12-07 00:37 -------- d-------- C:\Programme\mIRC
2006-12-06 21:55 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-06 19:57 -------- d-------- C:\Programme\Anti-Leech
2006-12-06 19:47 -------- d---s---- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Microsoft
2006-12-06 19:38 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-06 19:38 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Real
2006-12-06 14:29 -------- d-------- C:\Programme\SFT Loader
2006-12-05 11:51 -------- d-------- C:\Programme\Hewlett-Packard
2006-12-05 10:41 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-12-04 14:29 -------- d-------- C:\Programme\Internet Explorer
2006-12-04 14:27 -------- d-------- C:\Programme\Outlook Express
2006-12-04 14:27 -------- d-------- C:\Programme\Messenger
2006-12-04 14:27 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-12-04 13:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-12-04 13:23 -------- d-------- C:\Programme\MSN Messenger
2006-12-04 13:17 96256 --a------ C:\WINDOWS\system32\drivers\sptd3373.sys
2006-12-04 12:46 -------- d-------- C:\Programme\Windows Media Player
2006-12-04 12:46 -------- d-------- C:\Programme\Movie Maker
2006-12-04 12:40 -------- d-------- C:\Programme\Windows NT
2006-12-04 12:40 -------- d-------- C:\Programme\NetMeeting
2006-12-03 14:52 -------- d-------- C:\Programme\QuickTime Alternative
2006-11-29 13:37 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Skype
2006-11-29 11:00 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2006-11-27 21:30 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Adobe
2006-11-21 17:31 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-14 10:00 -------- d-------- C:\Programme\SpeedFan
2006-11-07 08:00 -------- d-------- C:\Programme\Sony Ericsson
2006-11-06 22:47 22799 --a------ C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
2006-11-06 22:05 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Teleca
2006-11-06 21:54 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-11-06 21:41 81728 --a------ C:\WINDOWS\system32\drivers\k750mgmt.sys
2006-11-06 21:41 79488 --a------ C:\WINDOWS\system32\drivers\k750obex.sys
2006-11-06 21:41 6144 --a------ C:\WINDOWS\system32\drivers\k750cmnt.sys
2006-11-06 21:41 6144 --a------ C:\WINDOWS\system32\drivers\k750cm.sys
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-10-31 14:44 73216 --a------ C:\WINDOWS\cadkasdeinst01.exe
2006-10-31 14:44 -------- d-------- C:\Programme\MP3 Cutter 1
2006-10-30 16:23 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Canon
2006-10-27 16:24 -------- d-------- C:\Programme\LG PC Suite
2006-10-27 16:16 -------- d-------- C:\Programme\LG Electronics
2006-10-26 22:16 -------- d-------- C:\Programme\Lautst„rke
2006-10-26 10:43 40960 --a------ C:\WINDOWS\system32\frapsvid.dll
2006-10-24 18:05 -------- d-------- C:\Programme\Opera
2006-10-24 10:17 48424 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-10-19 06:58 -------- d-------- C:\Programme\Tenable
2006-10-19 06:55 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-18 17:29 -------- d-------- C:\Programme\Apple Software Update
2006-10-17 08:12 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\LG Electronics
2006-10-16 12:16 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\VoipCheapCom
2006-10-16 11:16 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\VoipDiscount
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-13 11:23 163584 --a------ C:\WINDOWS\system32\drivers\nwrdr.sys
2006-10-11 09:54 -------- d-------- C:\Programme\K-Lite Codec Pack
2006-10-11 09:54 -------- d-------- C:\Programme\DivX
2006-10-07 17:27 -------- d-------- C:\Programme\iTunes
2006-10-07 17:27 -------- d-------- C:\Programme\iPod
2006-10-07 17:27 -------- d-------- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\Apple Computer
2006-10-06 10:27 720896 --a------ C:\WINDOWS\iun6002.exe
2006-10-01 14:00 40 ---hs---- C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\.zreglib
2006-09-17 21:53 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-09-13 22:14 593938 --a------ C:\WINDOWS\system32\x264vfw.dll
2006-09-13 06:09 1110528 --a------ C:\WINDOWS\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"VolumeOSD"="C:\\Programme\\Lautstärke\\VolumeOSD.exe"
"RMClock"="C:\\Programme\\RMClock\\RMClock.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"loadtrust"="C:\\DOKUME~1\\Hadixp\\ANWEND~1\\INTERS~1\\ANTIOPENDRIVE.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"OdTray.exe"="\"C:\\Programme\\Fujitsu Siemens Computers\\Odyssey Client for Fujitsu Siemens Computers\\OdTray.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SoundMan"="SOUNDMAN.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"HP Software Update"="C:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe"
"VC8Player"="C:\\Programme\\Virtual CD v8\\System\\VC8Play.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Hadixp^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Hadixp\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 7.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Acrotray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Anti-Blaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\Anti-Blaxx 1.18\\Anti-Blaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\aonUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="aonUpdate"
"hkey"="HKCU"
"command"="C:\\Programme\\aon\\aonUpdate\\aonUpdate.exe /tray"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpcmpmgr"
"hkey"="HKLM"
"command"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpztsb10"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb10.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSMSGS"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\MSMSGS.EXE\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime Alternative\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\show trust bore bolt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Owns bash"
"hkey"="HKLM"
"command"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\softinternetshowtrust\\Owns bash.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipCheapCom]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VoipCheapCom"
"hkey"="HKCU"
"command"="\"C:\\Programme\\VoipCheapCom\\VoipCheapCom.exe\" -nosplash -minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VoipDiscount"
"hkey"="HKCU"
"command"="\"C:\\Programme\\VoipDiscount\\VoipDiscount.exe\" -nosplash -minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AED555DD91A6CAE9.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

Completion time: 06-12-07 12:22:34.32
C:\ComboFix.txt ... 06-12-07 12:22
C:\ComboFix2.txt ... 06-12-07 12:12

System32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\WINDOWS\system32

07.12.2006 12:19 54.107 vsconfig.xml
07.12.2006 12:19 13.646 wpa.dbl
06.12.2006 22:06 270.984 FNTCACHE.DAT
06.12.2006 08:18 405.536 perfh009.dat
06.12.2006 08:18 64.026 perfc009.dat
06.12.2006 08:18 420.778 perfh007.dat
06.12.2006 08:18 76.914 perfc007.dat
06.12.2006 08:18 941.028 PerfStringBackup.INI
04.12.2006 13:18 90 spupdwxp.log
01.12.2006 22:16 98.304 CmdLineExt.dll
29.11.2006 11:00 43.520 CmdLineExt03.dll
28.11.2006 14:05 21.840 SIntfNT.dll
28.11.2006 14:05 17.212 SIntf32.dll
28.11.2006 14:05 12.067 SIntf16.dll
08.11.2006 02:38 10.342.824 MRT.exe
04.11.2006 14:14 1.245.696 msxml4.dll
31.10.2006 07:46 124.688 MSWINSCK.OCX
26.10.2006 10:43 40.960 frapsvid.dll
24.10.2006 10:17 48.424 sirenacm.dll
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 64.000 nwapi32.dll
13.10.2006 13:35 65.536 nwwks.dll
13.10.2006 13:35 146.432 nwprovau.dll
02.10.2006 18:58 24.072 uxtuneup.dll

Systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\DOKUME~1\Hadixp\LOKALE~1\Temp

07.12.2006 12:20 16.384 Perflib_Perfdata_8e4.dat
07.12.2006 12:20 16.384 Perflib_Perfdata_8f4.dat
07.12.2006 12:19 16.384 ~DF49B5.tmp
07.12.2006 12:18 16.384 Perflib_Perfdata_454.dat
4 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 2.635.350.016 Bytes frei

System.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\WINDOWS

07.12.2006 12:19 1.375.296 WindowsUpdate.log
07.12.2006 12:19 159 wiadebug.log
07.12.2006 12:18 50 wiaservc.log
07.12.2006 12:18 0 0.log
07.12.2006 12:18 2.048 bootstat.dat
07.12.2006 12:17 32.538 SchedLgU.Txt
06.12.2006 22:20 331.333 DirectX.log
06.12.2006 21:57 13.057 hhdrvi.log
06.12.2006 21:57 286.349 setupapi.log
06.12.2006 14:20 116 NeroDigital.ini
06.12.2006 14:04 303.104 Setup1.exe
06.12.2006 14:04 74.752 ST6UNST.EXE
05.12.2006 22:24 1.202 win.ini
05.12.2006 12:46 1.429.053 iis6.log
05.12.2006 12:46 354.263 comsetup.log
05.12.2006 12:46 220.673 ntdtcsetup.log
05.12.2006 12:46 552.233 tsoc.log
05.12.2006 12:46 40.357 ocmsn.log
05.12.2006 12:46 1.374 imsins.log
05.12.2006 12:46 55.797 tabletoc.log
05.12.2006 12:46 11.433 KB904942.log
05.12.2006 12:46 18.252 medctroc.Log
05.12.2006 12:46 631.095 ocgen.log
05.12.2006 12:46 197.595 netfxocm.log
05.12.2006 12:46 58.970 msgsocm.log
05.12.2006 12:46 1.156.826 FaxSetup.log
05.12.2006 12:46 388.672 msmqinst.log
05.12.2006 12:46 64.186 updspapi.log
05.12.2006 12:28 784.634 ntbtlog.txt
05.12.2006 10:15 227 system.ini
04.12.2006 15:59 379 wmsetup10.log
04.12.2006 15:59 50.864 wmsetup.log
04.12.2006 14:29 1.374 imsins.BAK
04.12.2006 14:29 24.386 KB922760.log
04.12.2006 14:28 15.828 KB924270.log
04.12.2006 14:28 14.942 KB923980.log
04.12.2006 14:28 14.703 KB920213.log
04.12.2006 14:28 13.028 KB925486.log
04.12.2006 14:28 14.339 KB920872.log
04.12.2006 14:28 12.595 KB916595.log
04.12.2006 14:27 8.327 KB922582.log
04.12.2006 14:27 12.334 KB920214.log
04.12.2006 14:27 12.390 KB900485.log
04.12.2006 14:27 12.392 KB911567.log
04.12.2006 14:27 10.160 KB887472.log
04.12.2006 14:27 6.507 KB886185.log
04.12.2006 13:43 46.694 KB922819.log
04.12.2006 13:42 34.057 KB923414.log
04.12.2006 13:42 35.476 KB921883.log
04.12.2006 13:42 52.060 KB911927.log
04.12.2006 13:42 34.280 KB922616.log
04.12.2006 13:42 29.868 KB920685.log
04.12.2006 13:42 36.328 KB911280.log
04.12.2006 13:42 18.330 KB911562.log
04.12.2006 13:41 31.644 KB924496.log
04.12.2006 13:41 31.757 KB921398.log
04.12.2006 13:41 37.691 KB910437.log
04.12.2006 13:41 28.038 KB919007.log
04.12.2006 13:40 39.717 KB914388.log
04.12.2006 13:40 38.746 KB905414.log
04.12.2006 13:40 27.397 KB917953.log
04.12.2006 13:39 24.422 KB923191.log
04.12.2006 13:39 27.239 KB917422.log
04.12.2006 13:39 30.195 KB912919.log
04.12.2006 13:38 30.698 KB908531.log
04.12.2006 13:38 28.925 KB905749.log
04.12.2006 13:37 26.118 KB913580.log
04.12.2006 13:37 26.596 KB908519.log
04.12.2006 13:36 24.582 KB920683.log
04.12.2006 13:34 24.343 KB914389.log
04.12.2006 13:23 731.622 DPINST.LOG
04.12.2006 13:20 1.510 OEWABLog.txt
04.12.2006 13:19 35.957 spupdsvc.log
04.12.2006 13:19 13.041 setuplog.txt
04.12.2006 13:19 360 DtcInstall.log
04.12.2006 13:19 316.640 WMSysPr9.prx
04.12.2006 13:12 669.206 svcpack.log
04.12.2006 13:12 228.446 KB904706.log
04.12.2006 13:11 240.296 KB902400.log
04.12.2006 13:10 223.141 KB901214.log
04.12.2006 13:09 215.733 KB901190.log
04.12.2006 13:09 231.885 KB901017.log
04.12.2006 13:08 222.997 KB900725.log
04.12.2006 13:07 232.603 KB899591.log
04.12.2006 13:06 222.800 KB899589.log
04.12.2006 13:05 237.404 KB899587.log
04.12.2006 13:05 214.968 KB896428.log
04.12.2006 13:04 233.339 KB896424.log
04.12.2006 13:03 231.112 KB896423.log
04.12.2006 13:02 235.878 KB896422.log
04.12.2006 13:01 231.158 KB896358.log
04.12.2006 13:01 233.489 KB893756.log
04.12.2006 13:00 222.904 KB891781.log
04.12.2006 12:59 220.848 KB890859.log
04.12.2006 12:58 224.664 KB890046.log
04.12.2006 12:57 217.163 KB888302.log
04.12.2006 12:57 227.665 KB888113.log
04.12.2006 12:56 230.197 KB885836.log
04.12.2006 12:55 234.606 KB885835.log
04.12.2006 12:54 213.291 KB885250.log
04.12.2006 12:54 227.671 KB873339.log
04.12.2006 12:48 200 cmsetacl.log
04.12.2006 12:47 1.330 sessmgr.setup.log
04.12.2006 12:23 0 setuperr.log
03.12.2006 15:33 1.500.364 setupapi.log.0.old
03.12.2006 14:50 604 Edofma.INI
28.11.2006 14:07 31.790 DIIUnin.dat
28.11.2006 13:56 2.829 DIIUnin.pif
28.11.2006 13:56 102.400 DIIUnin.exe
24.11.2006 18:48 425 BRWMARK.INI
24.11.2006 18:48 27 BRPP2KA.INI
22.11.2006 18:43 177.012 setupact.log
06.11.2006 22:11 0 mngui.INI
06.11.2006 22:05 1.210 IE4 Error Log.txt
05.11.2006 15:24 1.120 eReg.dat
31.10.2006 14:44 73.216 cadkasdeinst01.exe
27.10.2006 16:57 26 LGOutlookReader.INI
15.10.2006 08:37 26.781 KB924191.log
07.10.2006 17:27 121 GEARInstall.log
06.10.2006 10:27 720.896 iun6002.exe

Temp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\WINDOWS\Temp

07.12.2006 12:19 256 ZLT077bc.TMP
07.12.2006 12:19 256 ZLT077b9.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 2.635.427.840 Bytes frei

Down.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

31.10.2006 15:34 169.000 junction_dll.php
20.06.2006 14:44 379.704 MsnPUpld.dll
19.06.2006 13:40 393 MsnPUpld.inf
10.04.2006 09:25 65 desktop.ini
27.03.2006 12:00 5.019 swflash.inf
20.04.2005 10:05 8.338 DjVuLite.us.inf
07.04.2005 07:28 143 activex.inf
04.04.2005 15:53 753.664 activex.ocx
15.10.2004 04:23 110.592 PURde-xx.dll
22.09.2004 12:29 110.592 PURen-us.dll
09.08.2004 02:32 327.680 isusweb.dll
27.01.2004 17:14 2.299 mp43dmo.inf
25.07.2002 14:43 24.576 dwusplay.dll
25.07.2002 14:43 196.608 dwusplay.exe
31.05.2002 08:19 117.328 purde-at.dll
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
16 Datei(en) 2.207.163 Bytes
0 Verzeichnis(se), 2.635.423.744 Bytes frei

So, ich hoffe ich habe nichts vergessen...

Danke schon mal für die Hilfe

lg Hadi

Edit: iexplorer.exe läuft 1x im Taskmanager (vorher immer 2x)

#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\Programme

07.12.2006 12:15 <DIR> .
07.12.2006 12:15 <DIR> ..
20.08.2006 07:02 <DIR> Adobe
29.08.2006 12:44 <DIR> Alcohol Soft
06.12.2006 19:57 <DIR> Anti-Leech
05.05.2006 17:54 <DIR> AntiVir PersonalEdition Classic
18.10.2006 17:29 <DIR> Apple Software Update
27.11.2006 21:46 <DIR> ASCII
13.04.2006 22:07 <DIR> ATI Technologies
10.04.2006 09:35 <DIR> AvRack
28.04.2006 12:14 <DIR> BenQ
07.12.2006 12:15 <DIR> CleanUp!
10.04.2006 18:54 <DIR> ClearProg
10.04.2006 10:47 <DIR> Common Files
10.04.2006 09:23 <DIR> ComPlus Applications
25.06.2006 10:27 <DIR> DAEMON Tools
23.06.2006 06:57 <DIR> DIFX
11.10.2006 09:54 <DIR> DivX
01.12.2006 23:48 <DIR> Download Plugin
17.09.2006 21:44 <DIR> DVD Shrink
22.11.2006 18:48 <DIR> Far
26.04.2006 10:58 <DIR> Folder Shield
05.12.2006 14:08 <DIR> Fraps
10.04.2006 11:06 <DIR> Fujitsu Siemens Computers
06.12.2006 19:38 <DIR> Gemeinsame Dateien
06.10.2006 10:27 <DIR> GFI
26.11.2006 22:21 <DIR> Hamachi
05.12.2006 11:51 <DIR> Hewlett-Packard
27.04.2006 08:46 <DIR> HP
06.07.2006 16:34 <DIR> ICQLite
01.12.2006 23:49 <DIR> inter start
04.12.2006 14:29 <DIR> Internet Explorer
07.10.2006 17:27 <DIR> iPod
07.10.2006 17:27 <DIR> iTunes
11.04.2006 11:17 <DIR> Java
03.09.2006 13:21 <DIR> JoWooD
11.10.2006 09:54 <DIR> K-Lite Codec Pack
26.10.2006 22:16 <DIR> Lautst„rke
10.04.2006 13:45 <DIR> Lavasoft
27.10.2006 16:16 <DIR> LG Electronics
27.10.2006 16:24 <DIR> LG PC Suite
25.06.2006 19:23 <DIR> Macromedia
05.10.2006 09:08 <DIR> MediaInfo
11.04.2006 18:57 <DIR> MenuApp
04.12.2006 14:27 <DIR> Messenger
10.04.2006 09:26 <DIR> microsoft frontpage
10.04.2006 11:23 <DIR> Microsoft Office
10.04.2006 11:20 <DIR> Microsoft Visual Studio
10.04.2006 11:21 <DIR> Microsoft Works
10.04.2006 11:30 <DIR> Microsoft.NET
07.12.2006 13:26 <DIR> mIRC
04.12.2006 12:46 <DIR> Movie Maker
31.10.2006 14:44 <DIR> MP3 Cutter 1
10.04.2006 09:22 <DIR> MSN Gaming Zone
04.12.2006 13:23 <DIR> MSN Messenger
04.12.2006 13:49 <DIR> MSXML 4.0
08.11.2006 07:40 <DIR> MyPhoneExplorer
10.04.2006 17:28 <DIR> Nero
04.12.2006 12:40 <DIR> NetMeeting
10.04.2006 21:26 <DIR> Network Stumbler
24.10.2006 18:05 <DIR> Opera
04.12.2006 14:27 <DIR> Outlook Express
03.12.2006 14:52 <DIR> QuickTime Alternative
05.12.2006 21:45 <DIR> Real
17.09.2006 21:53 <DIR> Real Alternative
10.04.2006 09:35 <DIR> Realtek Sound Manager
07.12.2006 12:19 <DIR> RMClock
01.10.2006 14:02 <DIR> Serials2005
07.12.2006 13:24 <DIR> SFT Loader
10.04.2006 09:36 <DIR> SiSLan
05.09.2006 17:14 <DIR> Skype
17.09.2006 21:53 <DIR> SlySoft
07.11.2006 08:00 <DIR> Sony Ericsson
14.11.2006 10:00 <DIR> SpeedFan
07.12.2006 13:17 <DIR> Super Internet TV
19.10.2006 06:58 <DIR> Tenable
12.04.2006 09:05 <DIR> TGTSoft
29.06.2006 22:42 <DIR> Tools&More
05.12.2006 10:41 <DIR> TuneUp Utilities 2006
14.09.2006 21:22 <DIR> TVgenial
26.11.2006 14:58 <DIR> Ubi Soft
15.09.2006 08:52 <DIR> USB Vibration Joystick
01.05.2006 19:44 <DIR> VideoLAN
06.12.2006 21:56 <DIR> Virtual CD v8
06.12.2006 14:05 <DIR> Vokabeltrainer
05.12.2006 22:05 <DIR> webcamXP
27.11.2006 23:43 <DIR> Winamp
04.12.2006 12:46 <DIR> Windows Media Player
24.04.2006 10:15 <DIR> Windows Media-Komponenten
04.12.2006 12:40 <DIR> Windows NT
10.04.2006 13:57 <DIR> WinRAR
27.09.2006 12:37 <DIR> WISO
10.04.2006 09:26 <DIR> xerox
06.07.2006 17:19 <DIR> Yahoo!
10.04.2006 10:57 <DIR> Zone Labs
0 Datei(en) 0 Bytes
95 Verzeichnis(se), 2.564.943.872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\Dokumente und Einstellungen\Hadixp\Lokale Einstellungen\Anwendungsdaten

16.04.2006 08:32 <DIR> Adobe
10.04.2006 21:58 <DIR> Ahead
04.07.2006 17:04 <DIR> Apple Computer
26.11.2006 16:23 <DIR> ApplicationHistory
13.04.2006 22:10 <DIR> ATI
06.12.2006 14:20 222.720 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13.04.2006 22:10 139 fusioncache.dat
06.12.2006 22:08 81.720 GDIPFONTCACHEV1.DAT
07.09.2006 09:52 <DIR> Help
25.06.2006 19:30 <DIR> Macromedia
11.04.2006 11:25 <DIR> MenuApp
06.12.2006 23:19 <DIR> Microsoft
16.11.2006 09:07 <DIR> Seven Zip
06.11.2006 22:12 <DIR> Sony Ericsson
06.07.2006 18:00 <DIR> Yahoo
11.04.2006 11:16 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150060}
3 Datei(en) 304.579 Bytes
13 Verzeichnis(se), 2.564.943.872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten

27.11.2006 21:30 <DIR> Adobe
10.04.2006 22:05 853 AdobeDLM.log
23.06.2006 14:37 <DIR> AdobeUM
03.05.2006 11:54 <DIR> Ahead
07.10.2006 17:27 <DIR> Apple Computer
13.04.2006 22:10 <DIR> ATI
30.10.2006 16:23 <DIR> Canon
01.05.2006 19:43 <DIR> CyberLink
10.04.2006 22:05 0 dm.ini
05.10.2006 11:53 <DIR> dvdcss
03.12.2006 15:33 <DIR> Hamachi
07.09.2006 09:52 <DIR> Help
10.04.2006 11:35 <DIR> ICQLite
10.04.2006 09:30 <DIR> Identities
01.12.2006 23:49 <DIR> inter start
06.11.2006 22:47 22.799 Kommagetrennte Werte (Windows).ADR
10.04.2006 13:45 <DIR> Lavasoft
17.10.2006 08:12 <DIR> LG Electronics
25.06.2006 10:41 <DIR> Lionhead Studios
25.06.2006 19:30 <DIR> Macromedia
10.04.2006 14:27 <DIR> Media Player Classic
30.04.2006 10:46 <DIR> My Games
07.12.2006 13:26 <DIR> MyPhoneExplorer
10.04.2006 11:25 <DIR> Opera
06.12.2006 19:38 <DIR> Real
29.11.2006 13:37 <DIR> Skype
17.09.2006 21:55 <DIR> SlySoft
04.10.2006 21:32 <DIR> SpieleEntwicklungsKombinat
11.04.2006 18:19 <DIR> Sun
28.04.2006 23:27 <DIR> teamspeak2
06.11.2006 22:05 <DIR> Teleca
10.04.2006 10:57 <DIR> TuneUp Software
09.08.2006 17:24 <DIR> vlc
18.09.2006 08:22 <DIR> VoipBuster
16.10.2006 12:16 <DIR> VoipCheapCom
16.10.2006 11:16 <DIR> VoipDiscount
06.10.2006 10:51 <DIR> Wireshark
3 Datei(en) 23.652 Bytes
34 Verzeichnis(se), 2.564.943.872 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

10.04.2006 11:58 305 addr_file.html
18.08.2006 06:23 <DIR> Adobe
10.04.2006 22:10 <DIR> Adobe Systems
06.12.2006 22:20 <DIR> AntiVir PersonalEdition Classic
07.10.2006 17:27 <DIR> Apple Computer
04.12.2006 13:21 <DIR> Bird Mapi Ford Way
17.09.2006 21:43 <DIR> DVD Shrink
10.08.2006 18:45 <DIR> InstallShield
25.06.2006 19:23 <DIR> Macromedia
01.08.2006 18:14 <DIR> MSScanAppDataDir
25.04.2006 22:47 <DIR> Prism
17.04.2006 17:15 <DIR> Real
06.11.2006 21:54 <DIR> Sony Ericsson
06.11.2006 21:54 <DIR> Teleca
05.12.2006 18:25 <DIR> TEMP
10.04.2006 10:57 <DIR> TuneUp Software
10.04.2006 14:12 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
16 Verzeichnis(se), 2.564.939.776 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\Programme\Gemeinsame Dateien

06.12.2006 19:38 <DIR> .
06.12.2006 19:38 <DIR> ..
18.08.2006 06:23 <DIR> Adobe
10.04.2006 22:10 <DIR> Adobe Systems Shared
10.04.2006 17:31 <DIR> Ahead
27.09.2006 12:37 <DIR> Buhl Data Service
10.04.2006 11:22 <DIR> DESIGNER
10.04.2006 09:24 <DIR> Dienste
10.04.2006 11:06 <DIR> Funk Software
10.08.2006 18:24 <DIR> InstallShield
11.04.2006 11:16 <DIR> Java
20.08.2006 07:03 <DIR> Logox.4.0
25.06.2006 19:24 <DIR> Macromedia
04.12.2006 13:32 <DIR> Microsoft Shared
10.04.2006 09:23 <DIR> MSSoap
27.11.2006 23:44 <DIR> NSV
10.04.2006 10:16 <DIR> ODBC
06.12.2006 19:38 <DIR> Real
10.04.2006 10:16 <DIR> SpeechEngines
04.12.2006 14:27 <DIR> System
06.11.2006 21:54 <DIR> Teleca Shared
20.08.2006 07:03 <DIR> WebSpeech.4.0
19.10.2006 06:55 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
23 Verzeichnis(se), 2.564.939.776 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1814-369D

Verzeichnis von C:\Windows\tasks

01.12.2006 17:16 398 1-Klick-Wartung.job
22.11.2006 18:29 276 AppleSoftwareUpdate.job
2 Datei(en) 674 Bytes
0 Verzeichnis(se), 2.564.939.776 Bytes frei

#4 Hadixp

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\tasks\AED555DD91A6CAE9.job

Folders to delete:
C:\Programme\Anti-Leech
C:\Programme\inter start
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bird Mapi Ford Way
C:\Dokumente und Einstellungen\Hadixp\Anwendungsdaten\inter start

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKCU\..\Run: [loadtrust] C:\DOKUME~1\Hadixp\ANWEND~1\INTERS~1\ANTIOPENDRIVE.exe

pc neustarten

»»
scanne mit counterspy, lasse dann alles, was noch gefunden wird mit "remove" loeschen
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hallo zusammen....


ich habe mir auch diesen swizzor eingefangen ... mein internet ist nun dadurch anscheinend übertrieben langsam .... ich hoffe mal ihr könnt mir helfen

ich kenn mich leider GARNICHT aus ... hab mir nun hijackthis und combofix gedownloadet und es mal laufen lassen ... ich schätze mal ihr könnt etwas damit anfangen ... ich kopiere es einfach mal und bitte um eine etwas genauere erklärung .... vielen, vielen dank im voraus


HIJACKTHIS


Logfile of HijackThis v1.99.1
Scan saved at 19:27:23, on 08.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\GhostSurf 2005 Platinum\Proxy.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\Almir\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:7212
O2 - BHO: (no name) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O2 - BHO: (no name) - {D4E0C464-30CE-4075-9A10-71FD106C2847} - (no file)
O2 - BHO: (no name) - {E4772F2A-194F-9863-17E6-2ACE4B64D517} - C:\DOKUME~1\Almir\ANWEND~1\ENCMP3~1\ref iso.exe (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKLM\..\Run: [Global glue bags bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Up upload global glue\programitch.exe
O4 - HKLM\..\Run: [GhostSurfDelSatellite] "C:\Programme\GhostSurf 2005 Platinum\DeleteSatellite.exe"
O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Task manager] cassandra.exe
O4 - HKLM\..\Run: [PVModule] C:\PROGRA~2\PRINTV~1\pvmodule.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\RunServices: [Task manager] cassandra.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Aimbat] C:\DOKUME~1\Almir\ANWEND~1\HOPEER~1\Flap Vga.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Task manager] cassandra.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: GhostSurf proxy.lnk = C:\Programme\GhostSurf 2005 Platinum\Proxy.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E061304-34A9-4178-BB56-CDC903228FDA}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



COMBOFIX


ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Almir"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Inetget2
C:\Programme\Ipwins
C:\Programme\Gemeinsame Dateien\{901E272D-0875-1031-0519-050504260031}


((((((((((((((((((((((((((((((( Files Created from 2006-11-08 to 2006-12-08 ))))))))))))))))))))))))))))))))))


2006-12-05 18:51 <DIR> d--hs---- C:\Config.Msi
2006-11-16 22:05 <DIR> d-------- C:\Programme\Electronic Arts
2006-11-16 21:54 797,184 --a------ C:\WINDOWS\system32\d3dim700.dll
2006-11-16 21:54 68,096 --a------ C:\WINDOWS\system32\dpnhupnp.dll
2006-11-16 21:54 667,648 --a------ C:\WINDOWS\system32\dinput8.dll
2006-11-16 21:54 648,704 --a------ C:\WINDOWS\system32\dinput.dll
2006-11-16 21:54 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-11-16 21:54 292,864 --a------ C:\WINDOWS\system32\ddraw.dll
2006-11-16 21:54 257,024 --a------ C:\WINDOWS\system32\qcap.dll
2006-11-16 21:54 24,064 --a------ C:\WINDOWS\system32\ddrawex.dll
2006-11-16 21:54 186,880 --a------ C:\WINDOWS\system32\dsdmo.dll
2006-11-16 21:54 132,608 --a------ C:\WINDOWS\system32\devenum.dll
2006-11-16 21:54 13,312 --a------ C:\WINDOWS\system32\msdmo.dll
2006-11-16 21:54 1,962,496 --a------ C:\WINDOWS\system32\quartz.dll
2006-11-10 22:23 90,112 --a------ C:\WINDOWS\system32\LQCUI2.dll
2006-11-10 22:23 856,064 --a------ C:\WINDOWS\system32\Ltwvc12n.dll
2006-11-10 22:23 78,336 --a------ C:\WINDOWS\system32\lffax12n.dll
2006-11-10 22:23 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2006-11-10 22:23 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2006-11-10 22:23 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2006-11-10 22:23 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2006-11-10 22:23 53,248 -ra------ C:\WINDOWS\system32\InstMed.exe
2006-11-10 22:23 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2006-11-10 22:23 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2006-11-10 22:23 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2006-11-10 22:23 466,944 --a------ C:\WINDOWS\system32\QCUI2.dll
2006-11-10 22:23 458,752 --a------ C:\WINDOWS\system32\LCamCpl.dll
2006-11-10 22:23 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2006-11-10 22:23 406,016 --a------ C:\WINDOWS\system32\ltkrn12n.dll
2006-11-10 22:23 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2006-11-10 22:23 372,736 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2006-11-10 22:23 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2006-11-10 22:23 328,704 --a------ C:\WINDOWS\system32\LFCMP12n.DLL
2006-11-10 22:23 30,720 --a------ C:\WINDOWS\system32\lfbmp12n.dll
2006-11-10 22:23 259,072 --a------ C:\WINDOWS\system32\LTDIS12n.dll
2006-11-10 22:23 22,016 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2006-11-10 22:23 215,552 --a------ C:\WINDOWS\system32\Lvkrn12n.dll
2006-11-10 22:23 207,872 --a------ C:\WINDOWS\system32\ltefx12n.dll
2006-11-10 22:23 204,800 --a------ C:\WINDOWS\system32\LVUI2.dll
2006-11-10 22:23 204,800 --a------ C:\WINDOWS\system32\lvcodec2.dll
2006-11-10 22:23 2,180,096 --a------ C:\WINDOWS\system32\drivers\lvsvf2.sys
2006-11-10 22:23 164,864 --a------ C:\WINDOWS\system32\ltimg12n.dll
2006-11-10 22:23 141,312 --a------ C:\WINDOWS\system32\lftif12n.dll
2006-11-10 22:23 131,072 --a------ C:\WINDOWS\system32\ltfil12n.DLL
2006-11-10 22:23 106,496 --a------ C:\WINDOWS\system32\lvcoinst.dll
2006-11-10 22:23 1,317,152 --a------ C:\WINDOWS\system32\drivers\lvcm.sys
2006-11-10 22:23 <DIR> d-------- C:\WINDOWS\LastGood
2006-11-10 22:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2006-11-10 22:21 <DIR> d-------- C:\Programme\Logitech
2006-11-10 22:10 <DIR> d-------- C:\WUTemp


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-08 19:39 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-08 19:16 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-08 15:14 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-12-05 18:50 1743 --a------ C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\AdobeDLM.log
2006-12-05 18:50 0 --a------ C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\dm.ini
2006-12-05 18:49 -------- d-------- C:\Programme\Adobe
2006-12-05 18:49 -------- d-------- C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\Adobe
2006-11-25 19:56 -------- d-------- C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\Enc Mp3 Axis
2006-11-25 15:00 -------- d-------- C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\Hope error loud
2006-11-21 14:12 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-10 22:23 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-10 22:11 -------- d--h----- C:\Programme\WindowsUpdate
2006-10-30 20:30 -------- d-------- C:\Programme\Syncrosoft
2006-10-30 20:30 -------- d-------- C:\Programme\Steinberg
2006-10-29 21:35 -------- d-------- C:\Programme\FLStudio5
2006-10-19 21:04 695241 --a------ C:\fancy.exe
2006-10-14 14:34 578280 --a------ C:\wesee.exe
2006-10-12 22:15 -------- d-------- C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\Azureus
2006-10-12 21:24 -------- d-------- C:\Programme\Azureus


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\" /WinStart"
"MyWebSearch Email Plugin"="C:\\PROGRA~1\\MYWEBS~1\\bar\\3.bin\\mwsoemon.exe"
"Aimbat"="C:\\DOKUME~1\\Almir\\ANWEND~1\\HOPEER~1\\Flap Vga.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"Task manager"="cassandra.exe"
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Zone Labs Client"="C:\\PROGRA~1\\Zone Labs\\ZoneAlarm\\zapro.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_04\\bin\\jusched.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"My Web Search Bar"="rundll32 C:\\PROGRA~1\\MYWEBS~1\\bar\\3.bin\\MWSBAR.DLL,S"
"MyWebSearch Email Plugin"="C:\\PROGRA~1\\MYWEBS~1\\bar\\3.bin\\mwsoemon.exe"
"Global glue bags bolt"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Up upload global glue\\programitch.exe"
"GhostSurfDelSatellite"="\"C:\\Programme\\GhostSurf 2005 Platinum\\DeleteSatellite.exe\""
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"Task manager"="cassandra.exe"
"LVCOMSX"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Task manager"="cassandra.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,9d,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Task manager"="cassandra.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Task manager"="cassandra.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BlueSoleil.lnk"
"backup"="C:\\WINDOWS\\pss\\BlueSoleil.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\IVTCOR~1\\BLUESO~1\\BLUESO~1.EXE "
"item"="BlueSoleil"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PCSuiteForNokia6600 Detect.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PCSuiteForNokia6600 Detect.lnk"
"backup"="C:\\WINDOWS\\pss\\PCSuiteForNokia6600 Detect.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Nokia\\PCSUIT~1\\CONNMN~1.EXE "
"item"="PCSuiteForNokia6600 Detect"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PCSuiteForNokia6600 TS.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\PCSuiteForNokia6600 TS.lnk"
"backup"="C:\\WINDOWS\\pss\\PCSuiteForNokia6600 TS.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Nokia\\PCSUIT~1\\ECTASK~1.EXE "
"item"="PCSuiteForNokia6600 TS"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="steam"
"hkey"="HKCU"
"command"="\"c:\\programme\\valve\\steam\\steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="StyleXP"
"hkey"="HKCU"
"command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AFCDE05A90F29ADE.job

Completion time: 06-12-08 19:39:53.12
C:\ComboFix.txt ... 06-12-08 19:39


---------------------------------------------------------------------------


vielen dank im voraus

#6 zetta

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

wo kriege ich denn CleanUp her? der Link in deinem ersten Link geht irgendwie nicht.
ich habe mir "Complete Cleanup" runtergeladen, aber dies scheint wohl nicht das gleiche zu sein.

#8 lade clearprog
http://virus-protect.org/clearprog.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Ich habe einfach mal das zweite gemacht und alles kopiert was er mir ausgespuckt hat. Ich hoffe, dass es richtig ist:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\WINDOWS\system32

08.12.2006 18:37 334 vsconfig.xml
05.12.2006 20:06 153.176 FNTCACHE.DAT
03.12.2006 10:57 2.184 wpa.dbl
10.11.2006 22:29 1.205 lvcoinst.log
10.11.2006 22:24 487 Installer.log
29.10.2006 11:24 380.350 perfh009.dat
29.10.2006 11:24 63.580 perfc007.dat
29.10.2006 11:24 391.000 perfh007.dat
29.10.2006 11:24 52.764 perfc009.dat
29.10.2006 11:24 897.954 PerfStringBackup.INI
07.10.2006 12:44 0 TFTP3412
18.08.2006 12:49 0 TFTP2840


------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\DOKUME~1\Almir\LOKALE~1\Temp

------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\WINDOWS

08.12.2006 20:11 8.857 ccscan6.ini
08.12.2006 20:07 649 cclean13.ini
08.12.2006 19:31 54.156 QTFont.qfn
08.12.2006 18:35 0 0.log
08.12.2006 18:35 157 wiadebug.log
08.12.2006 18:34 50 wiaservc.log
08.12.2006 18:33 2.048 bootstat.dat
08.12.2006 15:33 32.118 SchedLgU.Txt
08.12.2006 12:34 286 LEXSTAT.INI
08.12.2006 12:01 7.996 Windows Update.log
08.12.2006 12:00 94.219 setupapi.log
05.12.2006 14:15 25.439 wmsetup.log
05.12.2006 00:10 49 NeroDigital.ini
03.12.2006 15:11 1.409 QTFont.for
01.12.2006 17:23 2.930 ModemLog_Bluetooth DUN Modem.txt
01.12.2006 17:23 2.930 ModemLog_Bluetooth Fax Modem.txt
19.11.2006 14:34 30 Iedit.INI
16.11.2006 22:06 147.573 DirectX.log
17.10.2006 17:40 823 win.ini
15.09.2006 16:02 8.607 mozver.dat
08.09.2006 19:21 0 setupact.log
08.09.2006 19:21 0 setuperr.log

------------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\WINDOWS\Temp

08.12.2006 18:35 256 ZLT065ac.TMP
1 Datei(en) 256 Bytes
0 Verzeichnis(se), 35.835.023.360 Bytes frei


-----------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.09.2004 14:59 110.592 PURen-us.dll
29.05.2003 15:00 84.064 minesweeper.dll
29.05.2003 14:00 160.864 messengerstatsclient.dll
3 Datei(en) 355.520 Bytes
0 Verzeichnis(se), 35.835.023.360 Bytes frei


-----------------------------------------------------------------


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\

08.12.2006 20:33 0 sys.txt
08.12.2006 20:33 412 down.txt
08.12.2006 20:32 277 tmp.txt
08.12.2006 20:31 4.786 system.txt
08.12.2006 20:30 133 systemtemp.txt
08.12.2006 20:30 106.910 system32.txt
08.12.2006 19:39 14.866 ComboFix.txt
08.12.2006 18:33 1.610.612.736 pagefile.sys
19.10.2006 21:04 695.241 fancy.exe
15.10.2006 17:58 244 sqmnoopt00.sqm
14.10.2006 14:34 578.280 wesee.exe
06.06.2006 16:10 194 boot.ini

-----------------------------------------------------------------



Beim Custom CleanUp finde ich die Einstellungen, wie im Link, leider nicht

#10 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#11 Den hier?




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\Programme

08.12.2006 20:04 <DIR> .
08.12.2006 20:04 <DIR> ..
05.12.2006 18:49 <DIR> Adobe
27.06.2006 01:35 <DIR> Adverts
16.08.2005 23:53 <DIR> Ahead
17.09.2006 18:18 <DIR> AltoMP3 CD Ripper
01.09.2006 00:29 <DIR> America's Army
01.09.2006 00:27 <DIR> America's Army Server Manager
29.12.2005 23:18 <DIR> Anti-Leech
04.05.2006 14:11 <DIR> AntiVir PersonalEdition Classic
26.08.2005 16:16 <DIR> ArcSoft
20.02.2006 21:14 <DIR> Ares Lite Edition
22.09.2005 12:55 <DIR> ASIO4ALL v2
19.04.2006 17:58 <DIR> Atari
08.09.2006 19:22 <DIR> ATI Technologies
15.02.2006 15:38 <DIR> audio-mp3-converter
12.10.2006 21:24 <DIR> Azureus
22.09.2006 19:40 <DIR> BearShare
16.08.2005 19:01 <DIR> C-Media 3D Audio
08.09.2006 11:07 <DIR> CCleaner
06.06.2006 14:35 <DIR> Common Files
08.12.2006 20:04 <DIR> Complete Cleanup Trial
16.08.2005 18:41 <DIR> ComPlus Applications
30.12.2005 05:11 <DIR> CyberLink
05.12.2005 19:10 <DIR> DAEMON Tools
13.05.2006 17:43 <DIR> DIFX
06.02.2006 22:52 <DIR> DigiDesign
22.01.2006 21:28 <DIR> DivX
13.03.2006 11:11 <DIR> DVD Shrink
01.06.2006 20:30 <DIR> EA GAMES
06.02.2006 22:50 <DIR> Edirol
16.11.2006 22:05 <DIR> Electronic Arts
30.05.2006 19:23 <DIR> Emule
29.10.2006 21:35 <DIR> FLStudio5
08.09.2006 10:14 <DIR> Futuremark
08.12.2006 19:39 <DIR> Gemeinsame Dateien
15.07.2006 00:15 <DIR> GhostSurf 2005 Platinum
28.05.2006 14:28 <DIR> Google
27.06.2006 01:35 <DIR> Hope error loud
06.07.2006 19:21 <DIR> ICQLite
06.02.2006 23:03 2.746 INSTALL.LOG
16.08.2005 19:11 <DIR> Internet Explorer
29.05.2006 00:26 <DIR> Intuwave
21.09.2005 22:09 <DIR> iPod
21.09.2005 22:09 <DIR> iTunes
19.03.2006 17:28 <DIR> IVT Corporation
16.08.2005 22:28 <DIR> Java
23.01.2006 11:30 <DIR> K-Lite Codec Pack
15.07.2006 00:14 <DIR> Koi-3D exklusiv
22.09.2006 20:15 <DIR> Lavasoft
10.11.2006 22:23 <DIR> Logitech
16.08.2005 18:53 <DIR> Messenger
03.09.2006 22:12 <DIR> Messenger Plus! Live
27.06.2006 01:35 <DIR> MessengerPlus! 3
24.09.2006 23:24 <DIR> MicModDX
01.10.2005 18:29 <DIR> Microsoft ActiveSync
22.09.2006 20:37 <DIR> Microsoft Bootvis
16.08.2005 18:48 <DIR> microsoft frontpage
01.10.2005 18:28 <DIR> Microsoft Office
06.06.2006 16:05 <DIR> Mobiola Web Camera
02.09.2005 18:00 <DIR> Moonlight Cordless
16.08.2005 18:46 <DIR> Movie Maker
09.12.2006 11:05 <DIR> Mozilla Firefox
08.12.2006 15:14 <DIR> Mozilla Thunderbird
06.09.2006 13:43 <DIR> mresreg
08.12.2006 19:57 <DIR> MSECACHE
16.08.2005 18:40 <DIR> MSN
16.08.2005 18:40 <DIR> MSN Gaming Zone
03.09.2006 22:12 <DIR> MSN Messenger
22.09.2006 19:40 <DIR> MyWebSearch
21.09.2005 22:13 <DIR> NetMeeting
10.01.2006 19:33 <DIR> NetObjects
16.12.2005 18:45 <DIR> NetObjects_Fusion_v9.0_GERMAN-CYGNUS
22.01.2006 21:42 <DIR> NimoCodec Pack
29.05.2006 00:26 <DIR> Nokia
16.08.2005 18:40 <DIR> Online Services
16.08.2005 18:47 <DIR> Online-Dienste
16.08.2005 18:42 <DIR> Outlook Express
26.08.2005 16:16 <DIR> Philips CSI
26.08.2005 16:18 <DIR> Philips ToUcam Camera
22.10.2005 14:51 <DIR> PPLive
21.09.2005 22:10 <DIR> QuickTime
05.09.2005 17:41 <DIR> Real
31.05.2006 00:56 <DIR> Series_60_Theme_Studio
22.02.2006 02:29 <DIR> Skispringen 2006
22.09.2006 16:53 <DIR> Spybot - Search & Destroy
06.06.2006 14:35 <DIR> Stardock
30.10.2006 20:30 <DIR> Steinberg
30.10.2006 20:30 <DIR> Syncrosoft
19.10.2005 00:16 <DIR> Teamspeak2_RC2
03.04.2006 14:42 <DIR> TGTSoft
28.09.2006 17:00 <DIR> TorrenTopia
08.07.2006 17:02 <DIR> Ubisoft
24.03.2006 20:35 <DIR> Ulead Systems
10.02.1998 17:34 128.000 UNWISE.EXE
18.08.2005 13:48 <DIR> Valve
16.08.2005 19:05 <DIR> VIA
23.01.2006 10:08 <DIR> VideoLAN
09.09.2005 07:49 <DIR> VOB
05.12.2005 19:14 <DIR> VOX3DPlaner
06.02.2006 22:55 <DIR> Waves
03.09.2006 23:50 <DIR> Winamp
08.12.2006 19:57 <DIR> Windows Installer Clean Up
23.01.2006 11:10 <DIR> Windows Media Player
24.03.2006 20:36 <DIR> Windows Media-Komponenten
16.08.2005 18:40 <DIR> Windows NT
06.06.2006 16:43 <DIR> WinRAR
16.08.2005 18:48 <DIR> xerox
14.10.2005 01:19 <DIR> Yahoo!
16.08.2005 20:40 <DIR> Zone Labs
2 Datei(en) 130.746 Bytes
108 Verzeichnis(se), 36.358.295.552 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\Dokumente und Einstellungen\Almir\Lokale Einstellungen\Anwendungsdaten

14.10.2005 01:26 <DIR> Adobe
22.09.2005 00:30 <DIR> Apple Computer
09.12.2006 10:53 <DIR> ApplicationHistory
08.09.2006 19:27 <DIR> ATI
07.12.2006 18:00 152.576 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
08.09.2006 19:26 138 fusioncache.dat
05.12.2006 19:28 37.496 GDIPFONTCACHEV1.DAT
28.05.2006 14:29 <DIR> Google
16.08.2005 19:15 <DIR> Help
16.08.2005 19:56 <DIR> Identities
10.11.2006 22:57 <DIR> Logitech-LS
07.12.2006 15:47 <DIR> Microsoft
15.06.2006 11:06 <DIR> Mozilla
21.09.2005 09:23 <DIR> NFS Underground 2
17.08.2005 21:43 <DIR> NFS Underground 2 Demo
06.06.2006 14:48 <DIR> Stardock
15.09.2006 16:02 <DIR> Thunderbird
16.08.2005 22:27 <DIR> {3248F0A6-6813-11D6-A77B-00B0D0150040}
3 Datei(en) 190.210 Bytes
15 Verzeichnis(se), 36.358.295.552 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\Dokumente und Einstellungen\Almir\Anwendungsdaten

05.12.2006 18:49 <DIR> Adobe
05.12.2006 18:50 1.743 AdobeDLM.log
14.10.2005 01:26 <DIR> AdobeUM
16.08.2005 23:54 <DIR> Ahead
21.09.2005 22:10 <DIR> Apple Computer
26.08.2005 16:18 <DIR> Arcsoft
08.09.2006 19:27 <DIR> ATI
12.10.2006 22:15 <DIR> Azureus
08.07.2006 16:45 <DIR> CDZilla
30.12.2005 05:12 <DIR> CyberLink
05.12.2006 18:50 0 dm.ini
15.08.2006 13:27 <DIR> dvdcss
25.11.2006 19:56 <DIR> Enc Mp3 Axis
28.05.2006 14:29 <DIR> Google
16.08.2005 19:15 <DIR> Help
25.11.2006 15:00 <DIR> Hope error loud
17.08.2005 20:27 <DIR> ICQLite
16.08.2005 18:53 <DIR> Identities
22.09.2006 20:20 <DIR> Lavasoft
17.08.2005 02:23 <DIR> Macromedia
23.01.2006 14:33 <DIR> Media Player Classic
16.08.2005 21:14 <DIR> Mozilla
16.08.2005 19:57 <DIR> MSN6
05.09.2005 17:43 <DIR> Real
23.09.2005 13:30 <DIR> Smartelectronix
05.09.2005 17:55 <DIR> Steinberg
17.08.2005 10:37 <DIR> Sun
27.09.2005 09:07 <DIR> Talkback
19.10.2005 00:16 <DIR> teamspeak2
15.07.2006 00:15 <DIR> Tenebril
15.09.2006 16:02 <DIR> Thunderbird
15.04.2006 01:17 <DIR> Ulead Systems
23.01.2006 10:11 <DIR> vlc
2 Datei(en) 1.743 Bytes
31 Verzeichnis(se), 36.358.291.456 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

09.02.2006 11:49 305 addr_file.html
05.12.2006 18:52 <DIR> Adobe
08.12.2006 19:17 <DIR> AntiVir PersonalEdition Classic
21.09.2005 22:09 <DIR> Apple Computer
19.03.2006 17:39 <DIR> Bluetooth
30.12.2005 05:12 <DIR> CyberLink
13.03.2006 11:11 <DIR> DVD Shrink
03.01.2006 22:02 <DIR> Macrovision
25.10.2005 22:28 <DIR> Messenger Plus!
16.08.2005 19:57 <DIR> MSN6
25.12.2005 17:23 1.365 QTSBandwidthCache
22.09.2006 19:41 <DIR> Spybot - Search & Destroy
24.03.2006 20:35 <DIR> Ulead Systems
27.06.2006 01:35 <DIR> Up upload global glue
15.10.2005 02:50 <DIR> Yahoo! Companion
2 Datei(en) 1.670 Bytes
13 Verzeichnis(se), 36.358.291.456 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\Programme\Gemeinsame Dateien

08.12.2006 19:39 <DIR> .
08.12.2006 19:39 <DIR> ..
03.01.2006 22:01 <DIR> Adobe
03.01.2006 22:02 <DIR> Adobe Systems Shared
16.08.2005 23:53 <DIR> Ahead
08.09.2006 19:20 <DIR> ATI Technologies
01.10.2005 18:29 <DIR> Designer
16.08.2005 18:42 <DIR> Dienste
17.08.2005 20:31 <DIR> DirectX
24.03.2006 20:33 <DIR> InstallShield
16.08.2005 22:27 <DIR> Java
10.11.2006 22:23 <DIR> Logitech
27.06.2006 01:27 <DIR> Microsoft Shared
02.09.2005 18:00 <DIR> Moonlight
16.08.2005 18:41 <DIR> MSSoap
18.06.2006 19:28 <DIR> NSV
16.08.2005 19:32 <DIR> ODBC
26.04.2006 09:10 <DIR> Real
24.03.2006 20:35 <DIR> SONY Digital Images
16.08.2005 19:32 <DIR> SpeechEngines
11.08.2006 23:49 <DIR> stardock
08.07.2006 16:43 <DIR> SWF Studio
01.10.2005 18:28 <DIR> System
24.03.2006 20:33 <DIR> Ulead Systems
26.04.2006 09:10 <DIR> xing shared
0 Datei(en) 0 Bytes
25 Verzeichnis(se), 36.358.291.456 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 901E-272D

Verzeichnis von C:\Windows\tasks

#12 zetta

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

"Task manager"="cassandra.exe"

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Task manager

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

cassandra.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

_____________________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\WINDOWS\system32\TFTP3412
C:\WINDOWS\system32\TFTP2840
C:\WINDOWS\system32\cassandra.exe
C:\fancy.exe
C:\wesee.exe
C:\WINDOWS\tasks\AFCDE05A90F29ADE.job

Folders to delete:
C:\Programme\PrintView
C:\Programme\Enc Mp3 Axis
C:\Programme\MyWebSearch
C:\Programme\Anti-Leech
C:\Programme\MessengerPlus! 3
C:\Programme\Hope error lou
C:\Programme\Adverts
C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\Hope error loud
C:\Dokumente und Einstellungen\Almir\Anwendungsdaten\Enc Mp3 Axis
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Up upload global glue
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Messenger Plus!

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)

O2 - BHO: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)

O2 - BHO: (no name) - {D4E0C464-30CE-4075-9A10-71FD106C2847} - (no file)

O2 - BHO: (no name) - {E4772F2A-194F-9863-17E6-2ACE4B64D517} - C:\DOKUME~1\Almir\ANWEND~1\ENCMP3~1\ref iso.exe (file missing)

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

O4 - HKLM\..\Run: [Global glue bags bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Up upload global glue\programitch.exe

O4 - HKLM\..\Run: [IpWins] C:\Programme\ipwins\ipwins.exe

O4 - HKLM\..\Run: [Task manager] cassandra.exe

O4 - HKLM\..\Run: [PVModule] C:\PROGRA~2\PRINTV~1\pvmodule.exe

O4 - HKLM\..\RunServices: [Task manager] cassandra.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

O4 - HKCU\..\Run: [Aimbat] C:\DOKUME~1\Almir\ANWEND~1\HOPEER~1\Flap Vga.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Task manager] cassandra.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000

PC neustarten

»»
dann kommen noch weitere Anweisungen, denn auf dem Rechner ist u.a. ein Wurm/Backdoor............
__________
MfG Sabina

rund um die PC-Sicherheit

#13 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 09.12.2006 22:34:11 for strings:
; '"task manager"="cassandra.exe"'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


-----------------------------------------------------------------

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 09.12.2006 22:35:44 for strings:
; 'task manager'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Task manager"="cassandra.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_USERS\S-1-5-21-1214440339-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

; End Of The Log...

-----------------------------------------------------------------

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 09.12.2006 22:37:24 for strings:
; 'cassandra.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Task manager"="cassandra.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_USERS\S-1-5-21-1214440339-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

; End Of The Log...

-----------------------------------------------------------------


Hier erstmal diese Daten, ich mach eben das was du gesagt hast....


Edit: Poah war das eine Arbeit, aber ich habe es geschafft und er läuft direkt schneller Jetzt warte ich auf die weiteren Anweisungen.
Wie glücklich du mich gemacht hast Sabina

#14 zetta

Gehe in die Registry
Start - Ausführen - regedit
oben links - bearbeiten - suchen - eingeben: cassandra.exe

alles mit rechtsklick - loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Task manager"="cassandra.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_USERS\S-1-5-21-1214440339-1078081533-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

PC neustarten

**
scanne - und kopiere hier den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Diese Datei war nicht dabei, konnte ich also nicht löschen

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Task manager"="cassandra.exe"

------------------------------------------------------------------


Ich hoffe dies ist der Report, den du brauchst. Von alleine ist keiner gekommen, also hab ich einfach die Dateien gespeichert die angezeigt wurden.


RegUBP2b-Almir.reg C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots Trojan.StartPage.1505 Gelöscht.
v1r1 C:\Dokumente und Einstellungen\Almir möglicherweise IRC.Virus Nicht desinfizierbar.Verschoben.
v1r5 C:\Dokumente und Einstellungen\Almir IRC.Flood Gelöscht.
x C:\Dokumente und Einstellungen\Almir IRC.Flood Gelöscht.
Loader.exe C:\Dokumente und Einstellungen\Almir\Eigene Dateien\almir-handy\BiN-1980 Tool.ProcPatch Nicht desinfizierbar.Verschoben.
Loader.exe C:\Programme\Mobiola Web Camera Tool.ProcPatch Nicht desinfizierbar.Verschoben.
npclntax.dll C:\Programme\Mozilla Firefox\plugins Adware.Zango Nicht desinfizierbar.Verschoben.
NPMyWebS.dll C:\Programme\Mozilla Firefox\plugins Adware.Msearch Nicht desinfizierbar.Verschoben.
riched20.dll C:\Programme\MSN Messenger Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274663.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Websearch Nicht desinfizierbar.Verschoben.
A0274664.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.MWS Nicht desinfizierbar.Verschoben.
A0274665.EXE C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Websearch Nicht desinfizierbar.Verschoben.
A0274669.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274671.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Trojan.Isbar.438 Gelöscht.
A0274673.SCR C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274675.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274676.EXE C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274677.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Trojan.DownLoader.7028 Gelöscht.
A0274679.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274681.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274682.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.MWS Nicht desinfizierbar.Verschoben.
A0274683.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274684.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274687.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Websearch Nicht desinfizierbar.Verschoben.
A0274688.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Websearch Nicht desinfizierbar.Verschoben.
A0274689.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.Msearch Nicht desinfizierbar.Verschoben.
A0274691.DLL C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.MWS Nicht desinfizierbar.Verschoben.
A0274693.dll C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP189 Adware.FastSearch Nicht desinfizierbar.Verschoben.
A0291654.reg C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP206 Trojan.StartPage.1505 Gelöscht.
A0293138.dll C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP210 Adware.PrintView Nicht desinfizierbar.Verschoben.
A0295765.exe C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP216 Trojan.DownLoader.12291 Gelöscht.
A0303672.dll C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP234 Adware.Softomate Nicht desinfizierbar.Verschoben.
A0306708.exe C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP236 Trojan.LopAd Gelöscht.
A0306715.exe C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP236 Trojan.Swizzor Gelöscht.
A0306716.exe C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP236 Trojan.Swizzor Gelöscht.
A0306788.EXE C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP236 Adware.Websearch Nicht desinfizierbar.Verschoben.
A0306790.exe C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP236 Trojan.Swizzor Gelöscht.
A0306831.reg C:\System Volume Information\_restore{BF78A6AA-4DBE-41DA-A6AD-6B0C8DC6AC85}\RP236 Trojan.StartPage.1505 Gelöscht.
f3PSSavr.scr C:\WINDOWS\system32 Adware.Msearch Nicht desinfizierbar.Verschoben.

------------------------------------------------------------

Edit: Antivir wird unten rechts in der Tasleiste nicht mehr angezeigt. ZoneAlarm wird auch nicht mehr automatisch gestartet. Ich hoff mal, dass das normal ist