Trojaner TR/Vundo lässt sich nicht entfernen |
||
---|---|---|
#0
| ||
12.12.2006, 21:17
...neu hier
Beiträge: 8 |
||
|
||
13.12.2006, 01:28
Ehrenmitglied
Beiträge: 29434 |
#2
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4________________________________________________________ 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com_______ Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) "MS Auto-IPSec Protection"="MSASP32.exe" in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) MS Auto-IPSec Protection in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) MSASP32.exe in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. »» poste noch mal die 6 logs von datfindbat « __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2006, 19:36
...neu hier
Themenstarter Beiträge: 8 |
#3
Hi Sabina, ich poste jetzt den Text vom regsearch :
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 13.12.2006 19:13:45 for strings: ; '"ms auto-ipsec protection"="msasp32.exe"' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 13.12.2006 19:21:54 for strings: ; 'msasp32.exe' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 13.12.2006 19:19:21 for strings: ; 'ms auto-ipsec protection' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... So, jetzt nochmal die logs von datfind : Verzeichnis von C:\WINDOWS\system32 13.12.2006 18:58 21.828 nvapps.xml 13.12.2006 18:58 48.882 vsconfig.xml 13.12.2006 18:58 41.116 ikhcore.log 12.12.2006 18:44 2.184 wpa.dbl 25.11.2006 17:47 600 FixVundo.log 24.11.2006 23:33 3.120 118290.54 24.11.2006 22:11 166.064 FixVundo.exe 15.11.2006 21:20 10.474.920 MRT.exe 29.10.2006 09:43 316.594 perfh007.dat 29.10.2006 09:43 311.604 perfh009.dat 29.10.2006 09:43 39.992 perfc009.dat 29.10.2006 09:43 48.156 perfc007.dat 29.10.2006 09:43 723.744 PerfStringBackup.INI 28.10.2006 21:52 4.212 zllictbl.dat 23.08.2006 22:38 392.824 vsdatant.sys 23.08.2006 22:38 71.672 zlcommdb.dll Verzeichnis von C:\DOKUME~1\Rolle\LOKALE~1\Temp 13.12.2006 19:03 9.282 trash.htm 13.12.2006 19:02 87 discountsurferbn.tmp 13.12.2006 19:02 1.768 discountsurfercf.tmp 13.12.2006 19:02 158.980 discountsurferpo.tmp 13.12.2006 19:02 0 TMPB.tmp 13.12.2006 18:59 0 TMP3.tmp 12.12.2006 23:46 12.936 control.xml 12.12.2006 22:01 0 TMP10.tmp 10.12.2006 22:58 107 DFC5A2B2.TMP 9 Datei(en) 183.160 Bytes 0 Verzeichnis(se), 72.641.392.640 Bytes frei Verzeichnis von C:\WINDOWS 13.12.2006 19:02 583 oleco.ini 13.12.2006 19:02 8.168 ModemLog_Standard 56000 bps V90 Modem.txt 13.12.2006 18:58 286 vista32.ini 13.12.2006 18:58 1.868.860 WindowsUpdate.log 13.12.2006 18:58 0 0.log 13.12.2006 18:58 2.048 bootstat.dat 13.12.2006 18:57 32.616 SchedLgU.Txt 08.12.2006 22:05 25.565 wiaservc.log 08.12.2006 22:05 14.950 wiadebug.log 08.12.2006 20:26 934.274 setupapi.log 24.11.2006 21:50 5.485 WGA.log 18.11.2006 19:30 2.379 ACROREAD.INI 12.11.2006 13:05 202 wmsetup.log 19.09.2006 21:24 4.264 svcpack.log 07.09.2006 17:13 178.824 iis6.log 07.09.2006 17:13 28.988 ntdtcsetup.log 07.09.2006 17:13 1.355 imsins.log 07.09.2006 17:13 50.785 comsetup.log 07.09.2006 17:13 57.928 tsoc.log 07.09.2006 17:13 7.514 KB893803v2.log 07.09.2006 17:13 54.977 ocgen.log 07.09.2006 17:13 6.040 msgsocm.log 07.09.2006 17:13 4.669 ocmsn.log 07.09.2006 17:13 116.640 FaxSetup.log 07.09.2006 17:13 41.266 msmqinst.log Verzeichnis von C:\WINDOWS\Temp 13.12.2006 18:58 256 ZLT07e4d.TMP 13.12.2006 18:58 256 ZLT07e49.TMP 13.12.2006 18:36 256 ZLT03919.TMP 13.12.2006 18:36 256 ZLT06d2b.TMP 13.12.2006 18:14 256 ZLT011a4.TMP 13.12.2006 18:14 256 ZLT05c51.TMP 6 Datei(en) 1.536 Bytes 0 Verzeichnis(se), 72.641.392.640 Bytes frei Verzeichnis von C:\WINDOWS\Downloaded Program Files 04.08.2006 15:08 1.656.568 ICSScan.dll 04.08.2006 13:03 470 ICSScanner.inf 27.03.2006 12:00 5.019 swflash.inf 24.02.2006 11:49 882 mcfscan.inf 16.06.2005 22:51 65 desktop.ini 26.05.2005 03:19 293 muweb.inf 30.06.2003 21:41 1.689 WMV9VCM.inf 7 Datei(en) 1.664.986 Bytes 0 Verzeichnis(se), 72.641.392.640 Bytes frei Verzeichnis von C:\ 13.12.2006 19:31 0 sys.txt 13.12.2006 19:30 591 down.txt 13.12.2006 19:30 527 tmp.txt 13.12.2006 19:29 6.859 system.txt 13.12.2006 19:28 702 systemtemp.txt 13.12.2006 19:24 92.861 system32.txt 13.12.2006 18:58 805.306.368 pagefile.sys 13.12.2006 18:36 7.296 avenger.txt 12.12.2006 21:59 8.427 ComboFix.txt 26.11.2006 19:48 7.567 ComboFix2.txt 25.11.2006 19:33 7.796 ComboFix3.txt 16.06.2005 22:52 0 MSDOS.SYS 16.06.2005 22:52 0 IO.SYS 16.06.2005 22:52 0 CONFIG.SYS 16.06.2005 22:52 0 AUTOEXEC.BAT 16.06.2005 22:47 194 boot.ini 18.08.2001 13:00 4.952 bootfont.bin 18.08.2001 13:00 45.124 NTDETECT.COM 18.08.2001 13:00 224.032 ntldr 19 Datei(en) 805.713.296 Bytes 0 Verzeichnis(se), 72.641.392.640 Bytes frei Habe deine Anweisungen befolgt, warte auf neue. Viele Grüße, Rolle |
|
|
||
13.12.2006, 19:42
Ehrenmitglied
Beiträge: 29434 |
#4
poste:
1. das neue Log vom HijackThis 2. das neue log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2006, 18:37
...neu hier
Themenstarter Beiträge: 8 |
#5
Hallo, bin wieder online; hier die neuen Logs :
Logfile of HijackThis v1.99.1 Scan saved at 18:29:26, on 14.12.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe ComboFix 06.11.22 - Running from: "C:\Programme" ((((((((((((((((((((((((((((((( Files Created from 2006-11-14 to 2006-12-14 )))))))))))))))))))))))))))))))))) 2006-12-13 19:07 <DIR> d-------- C:\Programme\regsearch 2006-12-12 22:48 <DIR> d-------- C:\Programme\datFind.logs 2006-12-10 16:17 <DIR> d-------- C:\Programme\Neuer Ordner 2006-12-08 20:23 21,760 --a------ C:\WINDOWS\system32\drivers\USBSTOR.SYS 2006-11-30 22:59 <DIR> d-------- C:\WINDOWS\McAfee.com 2006-11-30 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Help 2006-11-25 19:59 <DIR> d-------- C:\Programme\CleanUp! 2006-11-25 19:48 <DIR> d-------- C:\Programme\NoAdware4 2006-11-25 19:29 276,878 --a------ C:\Programme\combofix.exe 2006-11-25 18:28 101,888 --a------ C:\WINDOWS\system32\vb6stkit.dll 2006-11-25 18:28 1,386,496 --a------ C:\WINDOWS\system32\msvbvm60.dll 2006-11-25 17:33 151,696 --a------ C:\Programme\FxSasser.exe 2006-11-25 17:27 <DIR> d-------- C:\Programme\clrav 2006-11-25 16:56 143,872 --a------ C:\Programme\avprtool.exe 2006-11-25 16:13 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys 2006-11-25 16:13 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys 2006-11-25 16:12 <DIR> d-------- C:\Programme\Spyware Doctor 2006-11-25 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\PC Tools 2006-11-25 16:09 8,604,464 --a------ C:\Programme\sdsetup.exe 2006-11-24 23:33 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys 2006-11-24 23:33 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys 2006-11-24 23:33 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe 2006-11-24 23:33 13,687,680 --a------ C:\Programme\Defenza.exe 2006-11-24 23:33 <DIR> d-------- C:\Programme\Defenza 2006-11-24 22:11 166,064 --a------ C:\WINDOWS\system32\FixVundo.exe 2006-11-24 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage 2006-11-21 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeUM 2006-11-20 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe 2006-11-20 21:38 <DIR> d-------- C:\Programme\Adobe (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2006-12-13 20:03 -------- d-------- C:\Programme\discountsurfer 2006-12-13 18:29 127378 --a------ C:\Programme\avenger.zip 2006-12-12 22:16 289 --a------ C:\Programme\datFind.zip 2006-11-25 13:42 600 --a------ C:\Programme\FixVundo.log 2006-11-24 23:33 -------- d--h----- C:\Programme\InstallShield Installation Information 2006-11-24 20:25 2202 --a------ C:\Programme\tool_de.log 2006-11-24 20:16 363008 --a------ C:\Programme\tool_de.com 2006-11-21 22:54 -------- d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Adobe 2006-11-21 21:11 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2006-11-20 21:40 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe 2006-11-20 21:38 21290704 --a------ C:\Programme\AdbeRdr708_en_US.exe 2006-11-20 21:38 1154 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeDLM.log 2006-11-20 21:38 0 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\dm.ini 2006-11-02 21:04 36 --a------ C:\Programme\AdbeRdr708_en_US_FEAD_error.log 2006-10-28 21:48 13714856 --a------ C:\Programme\zlsSetup_65_737_000_en.exe 2006-10-28 20:51 -------- d-------- C:\Programme\Gemeinsame Dateien (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe" "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" "SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "Winamp Agent"="C:\\WINDOWS\\System32\\winamp.exe" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "WinampAgent"="C:\\Programme\\Winamp\\winampa.exe" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components] "DeskHtmlVersion"=dword:00000110 "DeskHtmlMinorVersion"=dword:00000005 "Settings"=dword:00000001 "GeneralFlags"=dword:00000001 [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" "Flags"=dword:00000002 "Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\ 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00 "CurrentState"=hex:04,00,00,40 "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\ ff,ff,04,00,00,00 "RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\ 00,00,01,00,00,00 [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" "Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"="" "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"="" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "dontdisplaylastusername"=dword:00000000 "legalnoticecaption"="" "legalnoticetext"="" "shutdownwithoutlogon"=dword:00000001 "undockwithoutlogon"=dword:00000001 [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer] "NoDriveTypeAutoRun"=dword:00000091 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload] "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}" "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}" "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\NetDDEclnt HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\RpcClient Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\FixVundo.job Completion time: 06-12-14 18:33:39.82 C:\ComboFix.txt ... 06-12-14 18:33 C:\ComboFix2.txt ... 06-12-12 21:59 C:\ComboFix3.txt ... 06-11-26 19:48 C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\VIA\RAID\raid_tool.exe C:\VSTASCAN\vsaccess.exe C:\Programme\Opera\Opera.exe C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.activinet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: (no name) - {BFA60865-F128-47C2-B459-16FDA7AFFD8B} - C:\WINDOWS\System32\awvtq.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [SysProtect] C:\Programme\SysProtect Free\USYP.exe /scan O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154859337953 O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37960.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DA14BDF8-4EF9-4351-BD13-203FB098B0A7}: NameServer = 62.134.11.4 195.182.110.132 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: System Service Monitor (servicemon) - Unknown owner - C:\WINDOWS\system32\servicemon.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing) O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing) Gruß, Rolle |
|
|
||
15.12.2006, 00:42
Ehrenmitglied
Beiträge: 29434 |
#6
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {BFA60865-F128-47C2-B459-16FDA7AFFD8B} SysProtect Free SysProtect Microsoft Windows Spool Service Windows Spool Service Network DDE Client NetDDEclnt Windows Genuine Advantage Registration Service wgareg poste, was erscheint __________________________ poste noch mal die 6 logs von datfindbat - bis Juni 2006 vom Datum her » __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.12.2006, 22:47
...neu hier
Themenstarter Beiträge: 8 |
#7
Hallo Sabina, hier die gewünschten logs :
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:15:28 for strings: ; '{bfa60865-f128-47c2-b459-16fda7affd8b}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}] ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:19:17 for strings: ; 'sysprotect free' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06170642-FA65-4FB6-AC79-5F235CB99BC2}\InProcServer32] @="C:\\Programme\\SysProtect Free\\FxCore.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\InprocServer32] @="C:\\Programme\\SysProtect Free\\MMFx.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\ToolboxBitmap32] @="C:\\Programme\\SysProtect Free\\MMFx.dll, 103" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\InprocServer32] @="C:\\Programme\\SysProtect Free\\FWraper.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\ToolboxBitmap32] @="C:\\Programme\\SysProtect Free\\FWraper.dll, 103" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0F4BC0F-EAEA-43B5-8CE6-DAD3CC9B29A2}\InProcServer32] @="C:\\Programme\\SysProtect Free\\MMFx.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAABCDD-7C16-4215-B12E-150BFB994CF0}\InprocServer32] @="C:\\Programme\\SysProtect Free\\FxCore.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF130E77-0A34-4365-BFB7-218FD3DDCD5F}\InprocServer32] @="C:\\Programme\\SysProtect Free\\PCheck.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\PCheck.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\FWraper.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\FxCore.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\MMFx.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\FlFxr15.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] "C:\\Programme\\SysProtect Free\\PCheck.dll"=dword:00000004 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USYP_is1] "Inno Setup: App Path"="C:\\Programme\\SysProtect Free" "InstallLocation"="C:\\Programme\\SysProtect Free\\" "UninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\"" "QuietUninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\" /SILENT" [HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect Free] [HKEY_LOCAL_MACHINE\SOFTWARE\Sys_Protect Free] "InstallPath"="C:\\Programme\\SysProtect Free\\" [HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:22:16 for strings: ; 'sysprotect' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06170642-FA65-4FB6-AC79-5F235CB99BC2}\InProcServer32] @="C:\\Programme\\SysProtect Free\\FxCore.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\InprocServer32] @="C:\\Programme\\SysProtect Free\\MMFx.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\ToolboxBitmap32] @="C:\\Programme\\SysProtect Free\\MMFx.dll, 103" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\InprocServer32] @="C:\\Programme\\SysProtect Free\\FWraper.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\ToolboxBitmap32] @="C:\\Programme\\SysProtect Free\\FWraper.dll, 103" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0F4BC0F-EAEA-43B5-8CE6-DAD3CC9B29A2}\InProcServer32] @="C:\\Programme\\SysProtect Free\\MMFx.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAABCDD-7C16-4215-B12E-150BFB994CF0}\InprocServer32] @="C:\\Programme\\SysProtect Free\\FxCore.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF130E77-0A34-4365-BFB7-218FD3DDCD5F}\InprocServer32] @="C:\\Programme\\SysProtect Free\\PCheck.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\PCheck.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\FWraper.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\FxCore.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\MMFx.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\0\win32] @="C:\\Programme\\SysProtect Free\\FlFxr15.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\HELPDIR] @="C:\\Programme\\SysProtect Free\\" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] "C:\\Programme\\SysProtect Free\\PCheck.dll"=dword:00000004 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USYP_is1] "Inno Setup: App Path"="C:\\Programme\\SysProtect Free" "InstallLocation"="C:\\Programme\\SysProtect Free\\" "Inno Setup: Icon Group"="SysProtect Unregistered Version" "DisplayName"="SysProtect 1.3.152.3" "UninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\"" "QuietUninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\" /SILENT" "Publisher"="SysProtect Inc." "URLInfoAbout"="http://SysProtect.com" "HelpLink"="http://SysProtect.com" "URLUpdateInfo"="http://SysProtect.com" [HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect] [HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect\SysProtect] [HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect Free] [HKEY_LOCAL_MACHINE\SOFTWARE\Sys_Protect Free] "InstallPath"="C:\\Programme\\SysProtect Free\\" [HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\RAS Autodial\Addresses\download.sysprotect.com] [HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603] "004"="SysProtect" [HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5604] "003"="SysProtect" [HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run] "SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:24:21 for strings: ; 'microsoft windows spool service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service] "DisplayName"="Microsoft Windows Spool Service" "Description"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service] "DisplayName"="Microsoft Windows Spool Service" "Description"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000] "DeviceDesc"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service] "DisplayName"="Microsoft Windows Spool Service" "Description"="Microsoft Windows Spool Service" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:25:34 for strings: ; 'windows spool service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000] "Service"="Windows Spool Service" "DeviceDesc"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service] "DisplayName"="Microsoft Windows Spool Service" "Description"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000] "Service"="Windows Spool Service" "DeviceDesc"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service] "DisplayName"="Microsoft Windows Spool Service" "Description"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000] "Service"="Windows Spool Service" "DeviceDesc"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service] "DisplayName"="Microsoft Windows Spool Service" "Description"="Microsoft Windows Spool Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service\Enum] ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:26:45 for strings: ; 'network dde client' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT\0000] "DeviceDesc"="Network DDE Client" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt] "DisplayName"="Network DDE Client" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT\0000] "DeviceDesc"="Network DDE Client" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt] "DisplayName"="Network DDE Client" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000] "DeviceDesc"="Network DDE Client" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt] "DisplayName"="Network DDE Client" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:28:28 for strings: ; 'netddeclnt' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT\0000] "Service"="NetDDEclnt" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt] ; Contents of value: ; c:\windows\system32\netddeclnt.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 6e,65,74,64,64,65,63,6c,6e,74,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt\Enum] "0"="Root\\LEGACY_NETDDECLNT\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT\0000] "Service"="NetDDEclnt" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt] ; Contents of value: ; c:\windows\system32\netddeclnt.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 6e,65,74,64,64,65,63,6c,6e,74,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000] "Service"="NetDDEclnt" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt] ; Contents of value: ; c:\windows\system32\netddeclnt.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 6e,65,74,64,64,65,63,6c,6e,74,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Enum] "0"="Root\\LEGACY_NETDDECLNT\\0000" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:30:13 for strings: ; 'windows genuine advantage registration service' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG\0000] "DeviceDesc"="Windows Genuine Advantage Registration Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg] "DisplayName"="Windows Genuine Advantage Registration Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG\0000] "DeviceDesc"="Windows Genuine Advantage Registration Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg] "DisplayName"="Windows Genuine Advantage Registration Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG\0000] "DeviceDesc"="Windows Genuine Advantage Registration Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg] "DisplayName"="Windows Genuine Advantage Registration Service" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 15.12.2006 22:31:39 for strings: ; 'wgareg' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG\0000] "Service"="wgareg" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg] ; Contents of value: ; c:\windows\system32\wgareg.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 77,67,61,72,65,67,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg\Enum] "0"="Root\\LEGACY_WGAREG\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG\0000] "Service"="wgareg" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg] ; Contents of value: ; c:\windows\system32\wgareg.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 77,67,61,72,65,67,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG\0000] "Service"="wgareg" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg] ; Contents of value: ; c:\windows\system32\wgareg.exe "ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\ 77,67,61,72,65,67,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg\Enum] "0"="Root\\LEGACY_WGAREG\\0000" ; End Of The Log... Jetzt die 6 Logs von datfindbat : Verzeichnis von C:\WINDOWS\system32 15.12.2006 22:03 21.828 nvapps.xml 15.12.2006 22:03 48.882 vsconfig.xml 15.12.2006 22:03 2.184 wpa.dbl 15.12.2006 22:03 45.276 ikhcore.log 25.11.2006 17:47 600 FixVundo.log 24.11.2006 23:33 3.120 118290.54 24.11.2006 22:11 166.064 FixVundo.exe 15.11.2006 21:20 10.474.920 MRT.exe 29.10.2006 09:43 316.594 perfh007.dat 29.10.2006 09:43 311.604 perfh009.dat 29.10.2006 09:43 39.992 perfc009.dat 29.10.2006 09:43 48.156 perfc007.dat 29.10.2006 09:43 723.744 PerfStringBackup.INI 28.10.2006 21:52 4.212 zllictbl.dat 23.08.2006 22:38 392.824 vsdatant.sys 23.08.2006 22:38 71.672 zlcommdb.dll 23.08.2006 22:38 83.960 zlcomm.dll 23.08.2006 22:38 440.312 vsutil.dll 23.08.2006 22:38 59.384 vswmi.dll 23.08.2006 22:38 100.344 vsxml.dll 23.08.2006 22:38 71.672 vsregexp.dll 23.08.2006 22:38 268.280 vspubapi.dll 23.08.2006 22:38 157.688 vsinit.dll 23.08.2006 22:38 104.440 vsmonapi.dll 23.08.2006 22:37 83.960 vsdata.dll 18.08.2006 19:13 0 TFTP1432 14.08.2006 21:02 0 2.tmp 14.08.2006 20:45 0 12.tmp 13.08.2006 12:29 0 4F.tmp 13.08.2006 10:42 74 setup.inf 12.08.2006 12:10 307.523 qtvwa.bak1 03.08.2006 20:05 1.024 TFTP596 03.08.2006 19:27 0 TFTP308 18.06.2006 16:54 796.584 libeay32_0.9.6l.dll 17.06.2006 08:55 57.384 avsda.dll Verzeichnis von C:\DOKUME~1\Rolle\LOKALE~1\Temp 15.12.2006 22:22 16.384 Perflib_Perfdata_c58.dat 14.12.2006 18:28 16.384 ~DF107E.tmp 10.12.2006 06:03 107 DFC5A2B2.TMP 3 Datei(en) 32.875 Bytes 0 Verzeichnis(se), 72.583.217.152 Bytes frei Verzeichnis von C:\WINDOWS 15.12.2006 22:37 9.060 ModemLog_Standard 56000 bps V90 Modem.txt 15.12.2006 22:03 286 vista32.ini 15.12.2006 22:03 0 0.log 15.12.2006 22:03 1.873.764 WindowsUpdate.log 15.12.2006 22:03 2.048 bootstat.dat 14.12.2006 21:09 32.616 SchedLgU.Txt 13.12.2006 19:02 583 oleco.ini 08.12.2006 22:05 25.565 wiaservc.log 08.12.2006 22:05 14.950 wiadebug.log 08.12.2006 20:26 934.274 setupapi.log 24.11.2006 21:50 5.485 WGA.log 18.11.2006 19:30 2.379 ACROREAD.INI 12.11.2006 13:05 202 wmsetup.log 19.09.2006 21:24 4.264 svcpack.log 07.09.2006 17:13 178.824 iis6.log 07.09.2006 17:13 50.785 comsetup.log 07.09.2006 17:13 1.355 imsins.log 07.09.2006 17:13 28.988 ntdtcsetup.log 07.09.2006 17:13 57.928 tsoc.log 07.09.2006 17:13 7.514 KB893803v2.log 07.09.2006 17:13 6.040 msgsocm.log 07.09.2006 17:13 54.977 ocgen.log 07.09.2006 17:13 4.669 ocmsn.log 07.09.2006 17:13 116.640 FaxSetup.log 07.09.2006 17:13 41.266 msmqinst.log 14.08.2006 20:06 0 keyboard1.dat 03.08.2006 19:41 176 oleco.ple 02.06.2006 22:09 30.655 xpsp1hfm.log 02.06.2006 22:09 1.355 imsins.BAK 02.06.2006 22:09 35.741 KB828741.log 02.06.2006 22:08 29.952 KB835732.log 02.06.2006 22:08 21.242 Q329834.log 02.06.2006 22:08 26.052 KB823559.log 02.06.2006 22:08 20.858 Q329048.log 02.06.2006 22:07 19.930 KB834707-IE6-20040929.115007.log 02.06.2006 22:07 18.545 Q810577.log 02.06.2006 22:07 15.389 Q810833.log 02.06.2006 22:06 12.846 Q811630.log 02.06.2006 22:06 11.359 Q815021.log 02.06.2006 22:05 10.708 Q329441.log 02.06.2006 22:05 10.427 Q817606.log 02.06.2006 22:05 7.393 Q329170.log 02.06.2006 22:04 2.135 Q329115.log 02.06.2006 22:04 1.773 Q329390.log 02.06.2006 22:04 1.416 Q323255.log Verzeichnis von C:\WINDOWS\Temp 15.12.2006 22:03 256 ZLT028ba.TMP 15.12.2006 22:03 256 ZLT0282c.TMP 2 Datei(en) 512 Bytes 0 Verzeichnis(se), 72.583.213.056 Bytes frei Verzeichnis von C:\WINDOWS\Downloaded Program Files 04.08.2006 15:08 1.656.568 ICSScan.dll 04.08.2006 13:03 470 ICSScanner.inf 27.03.2006 12:00 5.019 swflash.inf 24.02.2006 11:49 882 mcfscan.inf 16.06.2005 22:51 65 desktop.ini 26.05.2005 03:19 293 muweb.inf 30.06.2003 21:41 1.689 WMV9VCM.inf 7 Datei(en) 1.664.986 Bytes 0 Verzeichnis(se), 72.583.213.056 Bytes frei Verzeichnis von C:\ 15.12.2006 22:42 0 sys.txt 15.12.2006 22:41 591 down.txt 15.12.2006 22:41 327 tmp.txt 15.12.2006 22:37 6.859 system.txt 15.12.2006 22:37 404 systemtemp.txt 15.12.2006 22:33 92.861 system32.txt 15.12.2006 22:03 805.306.368 pagefile.sys 14.12.2006 18:33 7.680 ComboFix.txt 13.12.2006 18:36 7.296 avenger.txt 12.12.2006 21:59 8.427 ComboFix2.txt 26.11.2006 19:48 7.567 ComboFix3.txt mfg, Rolle |
|
|
||
15.12.2006, 23:54
Ehrenmitglied
Beiträge: 29434 |
#8
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was nach neustart erscheint »» ServiceFilter.zip http://virus-protect.org/artikel/tools/ServiceFilter.zip - entzippen - doppelklick auf die datei ServiceFilter.vbs - versions-nummer bestätigen - scannen - öffnen von wordpad oder editor erlauben - POST_THIS.TXT abkopieren ** Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. »» poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.12.2006, 19:17
...neu hier
Themenstarter Beiträge: 8 |
#9
Hallo, hier das Log vom Avenger
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\iiocrwty ******************* Script file located at: \??\C:\WINDOWS\kiikyidf.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\NetDDEclnt deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEclnt deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\NetDDEclnt deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEclnt deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service Status: 0xc0000034 File C:\WINDOWS\system32\Machnm64.sys deleted successfully. File C:\WINDOWS\system32\Machnm32.sys deleted successfully. File C:\WINDOWS\system32\Machnm1.exe deleted successfully. File C:\Programme\Defenza.exe deleted successfully. File C:\WINDOWS\keyboard1.dat deleted successfully. File C:\WINDOWS\system32\118290.54 deleted successfully. File C:\WINDOWS\system32\TFTP1432 deleted successfully. File C:\WINDOWS\system32\2.tmp deleted successfully. File C:\WINDOWS\system32\12.tmp deleted successfully. File C:\WINDOWS\system32\4F.tmp deleted successfully. File C:\WINDOWS\system32\setup.inf deleted successfully. File C:\WINDOWS\system32\qtvwa.bak1 deleted successfully. File C:\WINDOWS\system32\TFTP596 deleted successfully. File C:\WINDOWS\system32\TFTP308 deleted successfully. File c:\windows\system32\wgareg.exe not found! Deletion of file c:\windows\system32\wgareg.exe failed! Could not process line: c:\windows\system32\wgareg.exe Status: 0xc0000034 File c:\windows\system32\netddeclnt.exe not found! Deletion of file c:\windows\system32\netddeclnt.exe failed! Could not process line: c:\windows\system32\netddeclnt.exe Status: 0xc0000034 File C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\SysProtectScannerSetup.exe not found! Deletion of file C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\SysProtectScannerSetup.exe failed! Could not process line: C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\SysProtectScannerSetup.exe Status: 0xc0000034 Folder C:\Programme\Defenza deleted successfully. Folder C:\Programme\SysProtect Free not found! Deletion of folder C:\Programme\SysProtect Free failed! Could not process line: C:\Programme\SysProtect Free Status: 0xc0000034 Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Programme\SysProtect Free\PCheck.dll deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect Free deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USYP_is1 deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06170642-FA65-4FB6-AC79-5F235CB99BC2} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0F4BC0F-EAEA-43B5-8CE6-DAD3CC9B29A2} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAABCDD-7C16-4215-B12E-150BFB994CF0} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF130E77-0A34-4365-BFB7-218FD3DDCD5F} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFA60865-F128-47C2-B459-16FDA7AFFD8B} deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BFA60865-F128-47C2-B459-16FDA7AFFD8B} deleted successfully. Completed script processing. ******************* Finished! Terminate. und das Ergebnis des Service Filter : The script did not recognize the services listed below. This does not mean that they are a problem. To copy the entire contents of this document for posting: At the top of this window click "Edit" then "Select All" Next click "Edit" again then "Copy" Now right click in the forum post box then click "Paste" ######################################## ServiceFilter 1.1 by rand1038 Microsoft Windows XP Professional Version: 5.1.2600 Dez 16, 2006 19:02:09 ---> Begin Service Listing <--- Unknown Service # 1 Service Name: AntiVirScheduler Display Name: AntiVir Scheduler Start Mode: Auto Start Name: LocalSystem Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\sched.exe State: Running Process ID: 1396 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 2 Service Name: AntiVirService Display Name: AntiVir PersonalEdition Classic Service Start Mode: Auto Start Name: LocalSystem Description: Echtzeit Virenschutz durch H+BEDV AntiVir ... Service Type: Own Process Path: c:\programme\antivir personaledition classic\avguard.exe State: Running Process ID: 1416 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 3 Service Name: hwclock Display Name: Hardware Clock Driver Start Mode: Auto Start Name: LocalSystem Description: Enables a computer to save and restore system time information using the hardware clock. Stopping ... Service Type: Own Process Path: State: Stopped Process ID: 0 Started: Falsch Exit Code: 3 Accept Pause: Falsch Accept Stop: Falsch Unknown Service # 4 Service Name: SDhelper Display Name: PC Tools Spyware Doctor Start Mode: Auto Start Name: LocalSystem Description: Provides spyware and malware protection for the system. If this service is disabled spyware ... Service Type: Own Process Path: c:\programme\spyware doctor\sdhelp.exe State: Running Process ID: 1500 Started: Wahr Exit Code: 0 Accept Pause: Falsch Accept Stop: Wahr Unknown Service # 5 Service Name: servicemon Display Name: System Service Monitor Start Mode: Auto Start Name: LocalSystem Description: This service monitors the status of windows services. If this service is stopped windows may ... Service Type: Own Process Path: "c:\windows\system32\servicemon.exe" State: Stopped Process ID: 0 Started: Falsch Exit Code: 0 Accept Pause: Falsch Accept Stop: Falsch Unknown Service #6 Service Name: SwPrv Display Name: MS Software Shadow Copy Provider Start Mode: Manual Start Name: LocalSystem Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ... Service Type: Own Process Path: c:\windows\system32\dllhost.exe /processid:{a570df68-30a5-4aaf-950a-20a50002da1c} State: Stopped Process ID: 0 Started: Falsch Exit Code: 1077 Accept Pause: Falsch Accept Stop: Falsch ---> End Service Listing <--- There are 84 Win32 services on this machine. 6 were unrecognized. Script Execution Time: 1,15625 seconds. zum Schluß das Log von hijackthis : Logfile of HijackThis v1.99.1 Scan saved at 19:14:35, on 16.12.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\VIA\RAID\raid_tool.exe C:\WINDOWS\system32\notepad.exe C:\Programme\discountsurfer\_discountsurfer.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\Opera\Opera.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.activinet.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [SysProtect] C:\Programme\SysProtect Free\USYP.exe /scan O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154859337953 O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37960.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DA14BDF8-4EF9-4351-BD13-203FB098B0A7}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: System Service Monitor (servicemon) - Unknown owner - C:\WINDOWS\system32\servicemon.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Gruß und Dank, Rolle |
|
|
||
16.12.2006, 19:39
Ehrenmitglied
Beiträge: 29434 |
#10
kopiere in regsearch:
hwclock Hardware Clock Driver servicemon System Service Monitor poste, was gefunden wird __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.12.2006, 20:17
...neu hier
Themenstarter Beiträge: 8 |
#11
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.12.2006 20:10:37 for strings: ; 'hwclock' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000] "Service"="hwclock" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum] "0"="Root\\LEGACY_HWCLOCK\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK\0000] "Service"="hwclock" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000] "Service"="hwclock" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum] "0"="Root\\LEGACY_HWCLOCK\\0000" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.12.2006 20:12:58 for strings: ; 'hardware clock driver' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000] "DeviceDesc"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock] "DisplayName"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK\0000] "DeviceDesc"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock] "DisplayName"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000] "DeviceDesc"="Hardware Clock Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock] "DisplayName"="Hardware Clock Driver" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.12.2006 20:14:10 for strings: ; 'servicemon' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON\0000] "Service"="servicemon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon] ; Contents of value: ; "c:\windows\system32\servicemon.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,\ 5c,73,65,72,76,69,63,65,6d,6f,6e,2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon\Enum] "0"="Root\\LEGACY_SERVICEMON\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON\0000] "Service"="servicemon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon] ; Contents of value: ; "c:\windows\system32\servicemon.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,\ 5c,73,65,72,76,69,63,65,6d,6f,6e,2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON\0000] "Service"="servicemon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon] ; Contents of value: ; "c:\windows\system32\servicemon.exe" "ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,\ 5c,73,65,72,76,69,63,65,6d,6f,6e,2e,65,78,65,22,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon\Enum] "0"="Root\\LEGACY_SERVICEMON\\0000" ; End Of The Log... REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 16.12.2006 20:15:36 for strings: ; 'system service monitor' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON\0000] "DeviceDesc"="System Service Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon] "DisplayName"="System Service Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON\0000] "DeviceDesc"="System Service Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon] "DisplayName"="System Service Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON\0000] "DeviceDesc"="System Service Monitor" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon] "DisplayName"="System Service Monitor" ; End Of The Log... mfg, Rolle |
|
|
||
16.12.2006, 20:22
Ehrenmitglied
Beiträge: 29434 |
#12
Avenger
Zitat registry keys to delete:** scanne und poste den scanreport http://virus-protect.org/cureit.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 00:07
...neu hier
Themenstarter Beiträge: 8 |
#13
Hallo Sabina, bin endlich mal wieder online; hier die logs vom avenger:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\jkgbhjqy ******************* Script file located at: \??\C:\WINDOWS\System32\cqvttgdj.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon deleted successfully. Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon not found! Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon failed! Could not process line: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. und hier der Scan-Report : A0007497.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.PWS.Wbopen;Gelöscht.; A0008628.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0008628.exe;Trojan.Virtumod;; A0008628.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0008628.exe;Trojan.Virtumod;; A0008628.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0008634.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.; A0009634.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0009634.exe;Trojan.Virtumod;; A0009634.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0009634.exe;Trojan.Virtumod;; A0009634.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0009636.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.; A0009637.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.DownLoader.10963;Gelöscht.; A0010628.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0010628.exe;Trojan.Virtumod;; A0010628.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0010628.exe;Trojan.Virtumod;; A0010628.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0011634.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.; A0011642.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0011642.exe;Trojan.Virtumod;; A0011642.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0011642.exe;Trojan.Virtumod;; A0011642.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0012667.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0012667.exe;Trojan.Virtumod;; A0012667.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0012667.exe;Trojan.Virtumod;; A0012667.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0012669.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.; A0013667.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013667.exe;Trojan.Virtumod;; A0013667.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013667.exe;Trojan.Virtumod;; A0013667.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0013693.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013693.exe;Trojan.Virtumod;; A0013693.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013693.exe;Trojan.Virtumod;; A0013693.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0013730.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013730.exe;Trojan.Virtumod;; A0013730.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013730.exe;Trojan.Virtumod;; A0013730.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0014815.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014815.exe;Trojan.Virtumod;; A0014815.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014815.exe;Trojan.Virtumod;; A0014815.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0014825.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014825.exe;Trojan.Virtumod;; A0014825.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014825.exe;Trojan.Virtumod;; A0014825.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0014827.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014827.exe;Trojan.Virtumod;; A0014827.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014827.exe;Trojan.Virtumod;; A0014827.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.; A0024510.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.PWS.Wbopen;Gelöscht.; A0024511.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024512.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024513.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024515.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024516.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024517.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024518.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024519.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0024520.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.; A0047336.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP41;Trojan.Fakealert;Gelöscht.; A0048063.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP41;Trojan.Virtumod;Gelöscht.; A0048068.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP41;Trojan.Fakealert;Gelöscht.; USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.1;Trojan.DownLoader.10963;Gelöscht.; USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.2;Trojan.DownLoader.10963;Gelöscht.; USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.3;Trojan.DownLoader.10963;Gelöscht.; USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.4;Trojan.DownLoader.10963;Gelöscht.; mfg, Rolle |
|
|
||
19.12.2006, 00:15
Ehrenmitglied
Beiträge: 29434 |
#14
rolle
«« Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. http://virus-protect.org/systemwiederherstellung.html »» scanne mit kaspersky und poste den scanreport http://virus-protect.org/onlinescan.html ___________ und ehe ich es vergesse - mache die Windowsupdates, dein Rechner ist voellig ungeschuetzt - noch mal reinige ich keinen ungepatchten PC - da sinnlos __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.12.2006, 21:29
...neu hier
Themenstarter Beiträge: 8 |
#15
Hi Sabina,
1. Habe ständig Zone Alarm und Avira AntiVir-Wächter laufen, wieso ist dann mein Rechner völlig ungeschützt ? 2.Beim letzten Windows-Update Versuch bekam ich als Antwort der Key meines Betriebssystems wäre gefälscht, was nu ?? Kann man die Updates von sonst wo runterladen ? 3. Lade gerade den Kapersky-Scanner runter, muß ich dann im abgesicherten Modus scannen ? Konnte im abgesicherten Modus nicht scannen, hier der Scan-Report aus dem normalen Modus ! PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Dienstag, 19. Dezember 2006 22:12:10 Betriebssystem: Microsoft Windows XP Professional, (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 19/12/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 238016 Scan-Einstellungen Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard Archive untersuchen ja Mail-Datenbanken untersuchen ja Untersuchungsobjekt Arbeitsplatz A:\ C:\ D:\ Untersuchungsergebnisse Untersuchte Objekte insgesamt 24599 Viren gefunden 2 Infizierte Objekte gefunden 33 / 0 Verdächtige Objekte gefunden 0 Untersuchungszeit 00:13:48 Name des infizierten Objekts Virusname Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0008628.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0008628.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0008628.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0009634.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0009634.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0009634.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0010628.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0010628.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0010628.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0011642.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0011642.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0011642.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0012667.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0012667.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0012667.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013667.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013667.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013667.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013693.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013693.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013693.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013730.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013730.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013730.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014815.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014815.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014815.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014825.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014825.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014825.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014827.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014827.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014827.exe RarSFX: infiziert - 2 übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006120420061211\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121120061218\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121820061219\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121920061220\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Rolle\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\oakley.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\ROLAND-81MEUS0G.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT02b68.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT07bff.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. mfg, Rolle Dieser Beitrag wurde am 19.12.2006 um 22:45 Uhr von rolle editiert.
|
|
|
||
hier die log.files von diesem HijackThis Programm.
Schaue mir dann Punkt2 an, das cleanup. Danke für eure Hilfe !
Logfile of HijackThis v1.99.1
Scan saved at 20:57:16, on 12.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\VSTASCAN\vsaccess.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.activinet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=Explorer.exe mcafee32.exe
O1 - Hosts: 82.146.42.123 www.abbey.co.uk
O1 - Hosts: 82.146.42.123 abbey.co.uk
O1 - Hosts: 82.146.42.123 www.cahoot.co.uk
O1 - Hosts: 82.146.42.123 cahoot.co.uk
O1 - Hosts: 82.146.42.123 www.co-operativebank.com
O1 - Hosts: 82.146.42.123 co-operativebank.com
O1 - Hosts: 82.146.42.123 www.cajamar.com
O1 - Hosts: 82.146.42.123 www.unicaja.com
O1 - Hosts: 82.146.42.123 unicaja.com
O1 - Hosts: 82.146.42.123 www.caixagalicia.com
O1 - Hosts: 82.146.42.123 caixagalicia.com
O1 - Hosts: 82.146.42.123 www.caixasabadell.es
O1 - Hosts: 82.146.42.123 caixasabadell.es
O1 - Hosts: 82.146.42.123 www.cajamadrid.com
O1 - Hosts: 82.146.42.123 cajamadrid.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\cwlteujw.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\ssqnmll.dll
O2 - BHO: (no name) - {8203821B-D4F2-4B37-B603-74D80F58047E} - C:\WINDOWS\System32\awvtq.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [errorkiller] "C:\Program Files\errorkiller\errorkiller.exe" -boot
O4 - HKLM\..\Run: [NI.USYP] "C:\Dokumente und Einstellungen\Rolle\Eigene Dateien\SysProtectScannerInstall.exe"/BEFOREINSTALL
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SysProtect] C:\Programme\SysProtect Free\USYP.exe /scan
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154859337953
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37960.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA14BDF8-4EF9-4351-BD13-203FB098B0A7}: NameServer = 195.182.110.132 62.134.11.4
O20 - Winlogon Notify: awvtq - C:\WINDOWS\System32\awvtq.dll
O20 - Winlogon Notify: ssqnmll - C:\WINDOWS\SYSTEM32\ssqnmll.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: System Service Monitor (servicemon) - Unknown owner - C:\WINDOWS\system32\servicemon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)
Als 3.Punkt hier die ermittelten Files von combofix:
ComboFix 06.11.22 - Running from: "C:\Programme"
((((((((((((((((((((((((((((((( Files Created from 2006-11-12 to 2006-12-12 ))))))))))))))))))))))))))))))))))
2006-12-10 16:17 <DIR> d-------- C:\Programme\Neuer Ordner
2006-12-10 15:38 90,164 ---hs---- C:\WINDOWS\system32\jkhhh.dll
2006-12-10 15:07 90,164 ---hs---- C:\WINDOWS\system32\jkklk.dll
2006-12-10 14:09 90,164 ---hs---- C:\WINDOWS\system32\vturp.dll
2006-12-08 20:23 21,760 --a------ C:\WINDOWS\system32\drivers\USBSTOR.SYS
2006-11-30 22:59 <DIR> d-------- C:\WINDOWS\McAfee.com
2006-11-30 20:46 <DIR> d-------- C:\Programme\SysProtect Free
2006-11-30 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Help
2006-11-25 19:59 <DIR> d-------- C:\Programme\CleanUp!
2006-11-25 19:48 <DIR> d-------- C:\Programme\NoAdware4
2006-11-25 19:29 276,878 --a------ C:\Programme\combofix.exe
2006-11-25 18:28 101,888 --a------ C:\WINDOWS\system32\vb6stkit.dll
2006-11-25 18:28 1,386,496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2006-11-25 17:33 151,696 --a------ C:\Programme\FxSasser.exe
2006-11-25 17:27 <DIR> d-------- C:\Programme\clrav
2006-11-25 16:56 143,872 --a------ C:\Programme\avprtool.exe
2006-11-25 16:13 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-11-25 16:13 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-11-25 16:12 <DIR> d-------- C:\Programme\Spyware Doctor
2006-11-25 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\PC Tools
2006-11-25 16:09 8,604,464 --a------ C:\Programme\sdsetup.exe
2006-11-24 23:33 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-11-24 23:33 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-11-24 23:33 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-11-24 23:33 13,687,680 --a------ C:\Programme\Defenza.exe
2006-11-24 23:33 <DIR> d-------- C:\Programme\Defenza
2006-11-24 22:11 166,064 --a------ C:\WINDOWS\system32\FixVundo.exe
2006-11-24 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2006-11-21 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeUM
2006-11-20 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2006-11-20 21:38 <DIR> d-------- C:\Programme\Adobe
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-12-12 21:43 -------- d-------- C:\Programme\discountsurfer
2006-12-12 20:52 631271 ---hs---- C:\WINDOWS\system32\qtvwa.bak2
2006-11-25 13:42 600 --a------ C:\Programme\FixVundo.log
2006-11-24 23:33 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-24 20:25 2202 --a------ C:\Programme\tool_de.log
2006-11-24 20:16 363008 --a------ C:\Programme\tool_de.com
2006-11-21 22:54 -------- d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Adobe
2006-11-21 21:11 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-20 21:40 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-20 21:38 21290704 --a------ C:\Programme\AdbeRdr708_en_US.exe
2006-11-20 21:38 1154 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeDLM.log
2006-11-20 21:38 0 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\dm.ini
2006-11-02 21:04 36 --a------ C:\Programme\AdbeRdr708_en_US_FEAD_error.log
2006-10-28 21:48 13714856 --a------ C:\Programme\zlsSetup_65_737_000_en.exe
2006-10-28 20:51 -------- d-------- C:\Programme\Gemeinsame Dateien
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"MS Auto-IPSec Protection"="MSASP32.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"Winamp Agent"="C:\\WINDOWS\\System32\\winamp.exe"
"MS Auto-IPSec Protection"="MSASP32.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"errorkiller"="\"C:\\Program Files\\errorkiller\\errorkiller.exe\" -boot"
"NI.USYP"="\"C:\\Dokumente und Einstellungen\\Rolle\\Eigene Dateien\\SysProtectScannerInstall.exe\"/BEFOREINSTALL"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"MS Auto-IPSec Protection"="MSASP32.exe"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"MS Auto-IPSec Protection"="MSASP32.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"MS Auto-IPSec Protection"="MSASP32.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnmll
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\NetDDEclnt
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\RpcClient
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FixVundo.job
Completion time: 06-12-12 21:59:07.76
C:\ComboFix.txt ... 06-12-12 21:59
C:\ComboFix2.txt ... 06-11-26 19:48
C:\ComboFix3.txt ... 06-11-25 19:33
Jetzt als 4. die datFind.logs :
Verzeichnis von C:\WINDOWS\system32
12.12.2006 22:18 621.474 qtvwa.ini
12.12.2006 21:41 48.882 vsconfig.xml
12.12.2006 21:40 21.828 nvapps.xml
12.12.2006 21:40 34.876 ikhcore.log
12.12.2006 20:52 631.271 qtvwa.bak2
12.12.2006 18:44 2.184 wpa.dbl
10.12.2006 15:38 90.164 jkhhh.dll
10.12.2006 15:07 90.164 jkklk.dll
10.12.2006 14:29 90.164 vturp.dll
25.11.2006 17:47 600 FixVundo.log
24.11.2006 23:33 3.120 118290.54
24.11.2006 22:11 166.064 FixVundo.exe
21.11.2006 23:15 0 mcrh.tmp
15.11.2006 21:20 10.474.920 MRT.exe
29.10.2006 09:43 311.604 perfh009.dat
29.10.2006 09:43 316.594 perfh007.dat
29.10.2006 09:43 39.992 perfc009.dat
29.10.2006 09:43 48.156 perfc007.dat
29.10.2006 09:43 723.744 PerfStringBackup.INI
28.10.2006 21:52 4.212 zllictbl.dat
25.08.2006 23:00 720.224 qtvwa.ini2
23.08.2006 22:38 392.824 vsdatant.sys
Verzeichnis von C:\DOKUME~1\Rolle\LOKALE~1\Temp
12.12.2006 22:01 4.100 trash.htm
12.12.2006 22:01 1.768 discountsurfercf.tmp
12.12.2006 22:01 87 discountsurferbn.tmp
12.12.2006 22:01 158.980 discountsurferpo.tmp
12.12.2006 22:01 0 TMP10.tmp
5 Datei(en) 164.935 Bytes
0 Verzeichnis(se), 72.720.637.952 Bytes frei
Verzeichnis von C:\WINDOWS
12.12.2006 22:01 583 oleco.ini
12.12.2006 22:01 8.026 ModemLog_Standard 56000 bps V90 Modem.txt
12.12.2006 21:41 286 vista32.ini
12.12.2006 21:41 0 0.log
12.12.2006 21:40 1.861.504 WindowsUpdate.log
12.12.2006 21:40 2.048 bootstat.dat
12.12.2006 21:39 32.616 SchedLgU.Txt
08.12.2006 22:05 25.565 wiaservc.log
08.12.2006 22:05 14.950 wiadebug.log
08.12.2006 20:26 934.274 setupapi.log
24.11.2006 23:33 3.120 118294.78
24.11.2006 21:50 5.485 WGA.log
18.11.2006 19:30 2.379 ACROREAD.INI
12.11.2006 13:05 202 wmsetup.log
19.09.2006 21:24 4.264 svcpack.log
07.09.2006 17:13 178.824 iis6.log
07.09.2006 17:13 1.355 imsins.log
07.09.2006 17:13 50.785 comsetup.log
07.09.2006 17:13 57.928 tsoc.log
07.09.2006 17:13 28.988 ntdtcsetup.log
07.09.2006 17:13 7.514 KB893803v2.log
07.09.2006 17:13 6.040 msgsocm.log
07.09.2006 17:13 4.669 ocmsn.log
07.09.2006 17:13 54.977 ocgen.log
07.09.2006 17:13 116.640 FaxSetup.log
07.09.2006 17:13 41.266 msmqinst.log
Verzeichnis von C:\WINDOWS\Temp
12.12.2006 21:40 256 ZLT02c07.TMP
12.12.2006 21:40 256 ZLT02c04.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 72.719.097.856 Bytes frei
Verzeichnis von C:\WINDOWS\Downloaded Program Files
17.08.2006 12:14 76.288 USYP_0002_N91M1708NetInstaller.exe
04.08.2006 15:08 1.656.568 ICSScan.dll
04.08.2006 13:03 470 ICSScanner.inf
27.03.2006 12:00 5.019 swflash.inf
24.02.2006 11:49 882 mcfscan.inf
16.06.2005 22:51 65 desktop.ini
26.05.2005 03:19 293 muweb.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
8 Datei(en) 1.741.274 Bytes
0 Verzeichnis(se), 72.719.097.856 Bytes frei
Verzeichnis von C:\
12.12.2006 22:32 0 sys.txt
12.12.2006 22:31 663 down.txt
12.12.2006 22:30 327 tmp.txt
12.12.2006 22:25 6.906 system.txt
12.12.2006 22:22 511 systemtemp.txt
12.12.2006 22:18 93.287 system32.txt
12.12.2006 21:59 8.427 ComboFix.txt
12.12.2006 21:40 805.306.368 pagefile.sys
26.11.2006 19:48 7.567 ComboFix2.txt
25.11.2006 19:33 7.796 ComboFix3.txt
21.06.2005 21:19 10.074 mswin32.exe
21.06.2005 21:19 10.074 mswapi32.exe
16.06.2005 22:52 0 MSDOS.SYS
16.06.2005 22:52 0 IO.SYS
16.06.2005 22:52 0 CONFIG.SYS
16.06.2005 22:52 0 AUTOEXEC.BAT
16.06.2005 22:47 194 boot.ini
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 224.032 ntldr
18.08.2001 13:00 45.124 NTDETECT.COM
20 Datei(en) 805.726.302 Bytes
0 Verzeichnis(se), 72.719.089.664 Bytes frei
So, ich hoffe ich habe alles richtig gemacht; der Pfad des Trojaners ist Windows\System32\awvtq.dll
Nochmals Vielen Dank und viele Grüsse, Rolle