Trojaner TR/Vundo lässt sich nicht entfernen

#1 Hallo Profis, habe auch diesen nervigen Trojaner TR/Vundo.Gen;
hier die log.files von diesem HijackThis Programm.
Schaue mir dann Punkt2 an, das cleanup. Danke für eure Hilfe !

Logfile of HijackThis v1.99.1
Scan saved at 20:57:16, on 12.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\VSTASCAN\vsaccess.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.activinet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
F2 - REG:system.ini: Shell=Explorer.exe mcafee32.exe
O1 - Hosts: 82.146.42.123 www.abbey.co.uk
O1 - Hosts: 82.146.42.123 abbey.co.uk
O1 - Hosts: 82.146.42.123 www.cahoot.co.uk
O1 - Hosts: 82.146.42.123 cahoot.co.uk
O1 - Hosts: 82.146.42.123 www.co-operativebank.com
O1 - Hosts: 82.146.42.123 co-operativebank.com
O1 - Hosts: 82.146.42.123 www.cajamar.com
O1 - Hosts: 82.146.42.123 www.unicaja.com
O1 - Hosts: 82.146.42.123 unicaja.com
O1 - Hosts: 82.146.42.123 www.caixagalicia.com
O1 - Hosts: 82.146.42.123 caixagalicia.com
O1 - Hosts: 82.146.42.123 www.caixasabadell.es
O1 - Hosts: 82.146.42.123 caixasabadell.es
O1 - Hosts: 82.146.42.123 www.cajamadrid.com
O1 - Hosts: 82.146.42.123 cajamadrid.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\cwlteujw.dll (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\ssqnmll.dll
O2 - BHO: (no name) - {8203821B-D4F2-4B37-B603-74D80F58047E} - C:\WINDOWS\System32\awvtq.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [errorkiller] "C:\Program Files\errorkiller\errorkiller.exe" -boot
O4 - HKLM\..\Run: [NI.USYP] "C:\Dokumente und Einstellungen\Rolle\Eigene Dateien\SysProtectScannerInstall.exe"/BEFOREINSTALL
O4 - HKLM\..\RunServices: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Auto-IPSec Protection] MSASP32.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SysProtect] C:\Programme\SysProtect Free\USYP.exe /scan
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154859337953
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37960.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA14BDF8-4EF9-4351-BD13-203FB098B0A7}: NameServer = 195.182.110.132 62.134.11.4
O20 - Winlogon Notify: awvtq - C:\WINDOWS\System32\awvtq.dll
O20 - Winlogon Notify: ssqnmll - C:\WINDOWS\SYSTEM32\ssqnmll.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: System Service Monitor (servicemon) - Unknown owner - C:\WINDOWS\system32\servicemon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)


Als 3.Punkt hier die ermittelten Files von combofix:

ComboFix 06.11.22 - Running from: "C:\Programme"

((((((((((((((((((((((((((((((( Files Created from 2006-11-12 to 2006-12-12 ))))))))))))))))))))))))))))))))))


2006-12-10 16:17 <DIR> d-------- C:\Programme\Neuer Ordner
2006-12-10 15:38 90,164 ---hs---- C:\WINDOWS\system32\jkhhh.dll
2006-12-10 15:07 90,164 ---hs---- C:\WINDOWS\system32\jkklk.dll
2006-12-10 14:09 90,164 ---hs---- C:\WINDOWS\system32\vturp.dll
2006-12-08 20:23 21,760 --a------ C:\WINDOWS\system32\drivers\USBSTOR.SYS
2006-11-30 22:59 <DIR> d-------- C:\WINDOWS\McAfee.com
2006-11-30 20:46 <DIR> d-------- C:\Programme\SysProtect Free
2006-11-30 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Help
2006-11-25 19:59 <DIR> d-------- C:\Programme\CleanUp!
2006-11-25 19:48 <DIR> d-------- C:\Programme\NoAdware4
2006-11-25 19:29 276,878 --a------ C:\Programme\combofix.exe
2006-11-25 18:28 101,888 --a------ C:\WINDOWS\system32\vb6stkit.dll
2006-11-25 18:28 1,386,496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2006-11-25 17:33 151,696 --a------ C:\Programme\FxSasser.exe
2006-11-25 17:27 <DIR> d-------- C:\Programme\clrav
2006-11-25 16:56 143,872 --a------ C:\Programme\avprtool.exe
2006-11-25 16:13 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-11-25 16:13 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-11-25 16:12 <DIR> d-------- C:\Programme\Spyware Doctor
2006-11-25 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\PC Tools
2006-11-25 16:09 8,604,464 --a------ C:\Programme\sdsetup.exe
2006-11-24 23:33 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-11-24 23:33 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-11-24 23:33 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-11-24 23:33 13,687,680 --a------ C:\Programme\Defenza.exe
2006-11-24 23:33 <DIR> d-------- C:\Programme\Defenza
2006-11-24 22:11 166,064 --a------ C:\WINDOWS\system32\FixVundo.exe
2006-11-24 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2006-11-21 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeUM
2006-11-20 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2006-11-20 21:38 <DIR> d-------- C:\Programme\Adobe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-12 21:43 -------- d-------- C:\Programme\discountsurfer
2006-12-12 20:52 631271 ---hs---- C:\WINDOWS\system32\qtvwa.bak2
2006-11-25 13:42 600 --a------ C:\Programme\FixVundo.log
2006-11-24 23:33 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-24 20:25 2202 --a------ C:\Programme\tool_de.log
2006-11-24 20:16 363008 --a------ C:\Programme\tool_de.com
2006-11-21 22:54 -------- d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Adobe
2006-11-21 21:11 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-20 21:40 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-20 21:38 21290704 --a------ C:\Programme\AdbeRdr708_en_US.exe
2006-11-20 21:38 1154 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeDLM.log
2006-11-20 21:38 0 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\dm.ini
2006-11-02 21:04 36 --a------ C:\Programme\AdbeRdr708_en_US_FEAD_error.log
2006-10-28 21:48 13714856 --a------ C:\Programme\zlsSetup_65_737_000_en.exe
2006-10-28 20:51 -------- d-------- C:\Programme\Gemeinsame Dateien


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"MS Auto-IPSec Protection"="MSASP32.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"Winamp Agent"="C:\\WINDOWS\\System32\\winamp.exe"
"MS Auto-IPSec Protection"="MSASP32.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"errorkiller"="\"C:\\Program Files\\errorkiller\\errorkiller.exe\" -boot"
"NI.USYP"="\"C:\\Dokumente und Einstellungen\\Rolle\\Eigene Dateien\\SysProtectScannerInstall.exe\"/BEFOREINSTALL"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"MS Auto-IPSec Protection"="MSASP32.exe"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"MS Auto-IPSec Protection"="MSASP32.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"MS Auto-IPSec Protection"="MSASP32.exe"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnmll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\NetDDEclnt
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\RpcClient

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FixVundo.job

Completion time: 06-12-12 21:59:07.76
C:\ComboFix.txt ... 06-12-12 21:59
C:\ComboFix2.txt ... 06-11-26 19:48
C:\ComboFix3.txt ... 06-11-25 19:33


Jetzt als 4. die datFind.logs :

Verzeichnis von C:\WINDOWS\system32

12.12.2006 22:18 621.474 qtvwa.ini
12.12.2006 21:41 48.882 vsconfig.xml
12.12.2006 21:40 21.828 nvapps.xml
12.12.2006 21:40 34.876 ikhcore.log
12.12.2006 20:52 631.271 qtvwa.bak2
12.12.2006 18:44 2.184 wpa.dbl
10.12.2006 15:38 90.164 jkhhh.dll
10.12.2006 15:07 90.164 jkklk.dll
10.12.2006 14:29 90.164 vturp.dll
25.11.2006 17:47 600 FixVundo.log
24.11.2006 23:33 3.120 118290.54
24.11.2006 22:11 166.064 FixVundo.exe
21.11.2006 23:15 0 mcrh.tmp
15.11.2006 21:20 10.474.920 MRT.exe
29.10.2006 09:43 311.604 perfh009.dat
29.10.2006 09:43 316.594 perfh007.dat
29.10.2006 09:43 39.992 perfc009.dat
29.10.2006 09:43 48.156 perfc007.dat
29.10.2006 09:43 723.744 PerfStringBackup.INI
28.10.2006 21:52 4.212 zllictbl.dat
25.08.2006 23:00 720.224 qtvwa.ini2
23.08.2006 22:38 392.824 vsdatant.sys


Verzeichnis von C:\DOKUME~1\Rolle\LOKALE~1\Temp

12.12.2006 22:01 4.100 trash.htm
12.12.2006 22:01 1.768 discountsurfercf.tmp
12.12.2006 22:01 87 discountsurferbn.tmp
12.12.2006 22:01 158.980 discountsurferpo.tmp
12.12.2006 22:01 0 TMP10.tmp
5 Datei(en) 164.935 Bytes
0 Verzeichnis(se), 72.720.637.952 Bytes frei



Verzeichnis von C:\WINDOWS

12.12.2006 22:01 583 oleco.ini
12.12.2006 22:01 8.026 ModemLog_Standard 56000 bps V90 Modem.txt
12.12.2006 21:41 286 vista32.ini
12.12.2006 21:41 0 0.log
12.12.2006 21:40 1.861.504 WindowsUpdate.log
12.12.2006 21:40 2.048 bootstat.dat
12.12.2006 21:39 32.616 SchedLgU.Txt
08.12.2006 22:05 25.565 wiaservc.log
08.12.2006 22:05 14.950 wiadebug.log
08.12.2006 20:26 934.274 setupapi.log
24.11.2006 23:33 3.120 118294.78
24.11.2006 21:50 5.485 WGA.log
18.11.2006 19:30 2.379 ACROREAD.INI
12.11.2006 13:05 202 wmsetup.log
19.09.2006 21:24 4.264 svcpack.log
07.09.2006 17:13 178.824 iis6.log
07.09.2006 17:13 1.355 imsins.log
07.09.2006 17:13 50.785 comsetup.log
07.09.2006 17:13 57.928 tsoc.log
07.09.2006 17:13 28.988 ntdtcsetup.log
07.09.2006 17:13 7.514 KB893803v2.log
07.09.2006 17:13 6.040 msgsocm.log
07.09.2006 17:13 4.669 ocmsn.log
07.09.2006 17:13 54.977 ocgen.log
07.09.2006 17:13 116.640 FaxSetup.log
07.09.2006 17:13 41.266 msmqinst.log


Verzeichnis von C:\WINDOWS\Temp

12.12.2006 21:40 256 ZLT02c07.TMP
12.12.2006 21:40 256 ZLT02c04.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 72.719.097.856 Bytes frei



Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.08.2006 12:14 76.288 USYP_0002_N91M1708NetInstaller.exe
04.08.2006 15:08 1.656.568 ICSScan.dll
04.08.2006 13:03 470 ICSScanner.inf
27.03.2006 12:00 5.019 swflash.inf
24.02.2006 11:49 882 mcfscan.inf
16.06.2005 22:51 65 desktop.ini
26.05.2005 03:19 293 muweb.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
8 Datei(en) 1.741.274 Bytes
0 Verzeichnis(se), 72.719.097.856 Bytes frei



Verzeichnis von C:\

12.12.2006 22:32 0 sys.txt
12.12.2006 22:31 663 down.txt
12.12.2006 22:30 327 tmp.txt
12.12.2006 22:25 6.906 system.txt
12.12.2006 22:22 511 systemtemp.txt
12.12.2006 22:18 93.287 system32.txt
12.12.2006 21:59 8.427 ComboFix.txt
12.12.2006 21:40 805.306.368 pagefile.sys
26.11.2006 19:48 7.567 ComboFix2.txt
25.11.2006 19:33 7.796 ComboFix3.txt
21.06.2005 21:19 10.074 mswin32.exe
21.06.2005 21:19 10.074 mswapi32.exe
16.06.2005 22:52 0 MSDOS.SYS
16.06.2005 22:52 0 IO.SYS
16.06.2005 22:52 0 CONFIG.SYS
16.06.2005 22:52 0 AUTOEXEC.BAT
16.06.2005 22:47 194 boot.ini
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 224.032 ntldr
18.08.2001 13:00 45.124 NTDETECT.COM
20 Datei(en) 805.726.302 Bytes
0 Verzeichnis(se), 72.719.089.664 Bytes frei


So, ich hoffe ich habe alles richtig gemacht; der Pfad des Trojaners ist Windows\System32\awvtq.dll
Nochmals Vielen Dank und viele Grüsse, Rolle

#2 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MS Auto-IPSec Protection"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"MS Auto-IPSec Protection"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"MS Auto-IPSec Protection"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"MS Auto-IPSec Protection"=-

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"MS Auto-IPSec Protection"=-

________________________________________________________

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|errorkiller
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|NI.USYP
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|MS Auto-IPSec Protection

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtq
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnmll
HKLM\SOFTWARE\Classes\CLSID\{8203821B-D4F2-4B37-B603-74D80F58047E}
HKLM\SOFTWARE\Classes\CLSID\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKLM\SOFTWARE\Classes\CLSID\{35F7813A-AF74-4474-B1DC-7EE6FB6C43C6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{35F7813A-AF74-4474-B1DC-7EE6FB6C43C6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8203821B-D4F2-4B37-B603-74D80F58047E}

Files to delete:
C:\mswin32.exe
C:\mswapi32.exe
C:\WINDOWS\Downloaded Program Files\USYP_0002_N91M1708NetInstaller.exe
C:\WINDOWS\118294.78
C:\WINDOWS\System32\mcafee32.exe
C:\WINDOWS\System32\ssqnmll.dll
C:\WINDOWS\system32\qtvwa.ini
C:\WINDOWS\system32\qtvwa.bak2
C:\WINDOWS\system32\qtvwa.ini2
C:\WINDOWS\system32\jkhhh.dll
C:\WINDOWS\system32\jkklk.dll
C:\WINDOWS\system32\vturp.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\awvtq.dll
C:\Dokumente und Einstellungen\Rolle\Eigene Dateien\SysProtectScannerInstall.exe

Folders to delete:
C:\Programme\SysProtect Free
C:\Program Files\errorkiller\errorkiller.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

F2 - REG:system.ini: Shell=Explorer.exe mcafee32.exe

O1 - Hosts: 82.146.42.123 www.abbey.co.uk
O1 - Hosts: 82.146.42.123 abbey.co.uk
O1 - Hosts: 82.146.42.123 www.cahoot.co.uk
O1 - Hosts: 82.146.42.123 cahoot.co.uk
O1 - Hosts: 82.146.42.123 www.co-operativebank.com
O1 - Hosts: 82.146.42.123 co-operativebank.com
O1 - Hosts: 82.146.42.123 www.cajamar.com
O1 - Hosts: 82.146.42.123 www.unicaja.com
O1 - Hosts: 82.146.42.123 unicaja.com
O1 - Hosts: 82.146.42.123 www.caixagalicia.com
O1 - Hosts: 82.146.42.123 caixagalicia.com
O1 - Hosts: 82.146.42.123 www.caixasabadell.es
O1 - Hosts: 82.146.42.123 caixasabadell.es
O1 - Hosts: 82.146.42.123 www.cajamadrid.com
O1 - Hosts: 82.146.42.123 cajamadrid.com

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)

O23 - Service: System Service Monitor (servicemon) - Unknown owner - C:\WINDOWS\system32\servicemon.exe (file missing)

O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)

O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)

_______

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

"MS Auto-IPSec Protection"="MSASP32.exe"

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

MS Auto-IPSec Protection

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

MSASP32.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

»»
poste noch mal die 6 logs von datfindbat



«
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina, ich poste jetzt den Text vom regsearch :

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 19:13:45 for strings:
; '"ms auto-ipsec protection"="msasp32.exe"'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 19:21:54 for strings:
; 'msasp32.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 13.12.2006 19:19:21 for strings:
; 'ms auto-ipsec protection'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


So, jetzt nochmal die logs von datfind :

Verzeichnis von C:\WINDOWS\system32

13.12.2006 18:58 21.828 nvapps.xml
13.12.2006 18:58 48.882 vsconfig.xml
13.12.2006 18:58 41.116 ikhcore.log
12.12.2006 18:44 2.184 wpa.dbl
25.11.2006 17:47 600 FixVundo.log
24.11.2006 23:33 3.120 118290.54
24.11.2006 22:11 166.064 FixVundo.exe
15.11.2006 21:20 10.474.920 MRT.exe
29.10.2006 09:43 316.594 perfh007.dat
29.10.2006 09:43 311.604 perfh009.dat
29.10.2006 09:43 39.992 perfc009.dat
29.10.2006 09:43 48.156 perfc007.dat
29.10.2006 09:43 723.744 PerfStringBackup.INI
28.10.2006 21:52 4.212 zllictbl.dat
23.08.2006 22:38 392.824 vsdatant.sys
23.08.2006 22:38 71.672 zlcommdb.dll


Verzeichnis von C:\DOKUME~1\Rolle\LOKALE~1\Temp

13.12.2006 19:03 9.282 trash.htm
13.12.2006 19:02 87 discountsurferbn.tmp
13.12.2006 19:02 1.768 discountsurfercf.tmp
13.12.2006 19:02 158.980 discountsurferpo.tmp
13.12.2006 19:02 0 TMPB.tmp
13.12.2006 18:59 0 TMP3.tmp
12.12.2006 23:46 12.936 control.xml
12.12.2006 22:01 0 TMP10.tmp
10.12.2006 22:58 107 DFC5A2B2.TMP
9 Datei(en) 183.160 Bytes
0 Verzeichnis(se), 72.641.392.640 Bytes frei


Verzeichnis von C:\WINDOWS

13.12.2006 19:02 583 oleco.ini
13.12.2006 19:02 8.168 ModemLog_Standard 56000 bps V90 Modem.txt
13.12.2006 18:58 286 vista32.ini
13.12.2006 18:58 1.868.860 WindowsUpdate.log
13.12.2006 18:58 0 0.log
13.12.2006 18:58 2.048 bootstat.dat
13.12.2006 18:57 32.616 SchedLgU.Txt
08.12.2006 22:05 25.565 wiaservc.log
08.12.2006 22:05 14.950 wiadebug.log
08.12.2006 20:26 934.274 setupapi.log
24.11.2006 21:50 5.485 WGA.log
18.11.2006 19:30 2.379 ACROREAD.INI
12.11.2006 13:05 202 wmsetup.log
19.09.2006 21:24 4.264 svcpack.log
07.09.2006 17:13 178.824 iis6.log
07.09.2006 17:13 28.988 ntdtcsetup.log
07.09.2006 17:13 1.355 imsins.log
07.09.2006 17:13 50.785 comsetup.log
07.09.2006 17:13 57.928 tsoc.log
07.09.2006 17:13 7.514 KB893803v2.log
07.09.2006 17:13 54.977 ocgen.log
07.09.2006 17:13 6.040 msgsocm.log
07.09.2006 17:13 4.669 ocmsn.log
07.09.2006 17:13 116.640 FaxSetup.log
07.09.2006 17:13 41.266 msmqinst.log


Verzeichnis von C:\WINDOWS\Temp

13.12.2006 18:58 256 ZLT07e4d.TMP
13.12.2006 18:58 256 ZLT07e49.TMP
13.12.2006 18:36 256 ZLT03919.TMP
13.12.2006 18:36 256 ZLT06d2b.TMP
13.12.2006 18:14 256 ZLT011a4.TMP
13.12.2006 18:14 256 ZLT05c51.TMP
6 Datei(en) 1.536 Bytes
0 Verzeichnis(se), 72.641.392.640 Bytes frei


Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.08.2006 15:08 1.656.568 ICSScan.dll
04.08.2006 13:03 470 ICSScanner.inf
27.03.2006 12:00 5.019 swflash.inf
24.02.2006 11:49 882 mcfscan.inf
16.06.2005 22:51 65 desktop.ini
26.05.2005 03:19 293 muweb.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
7 Datei(en) 1.664.986 Bytes
0 Verzeichnis(se), 72.641.392.640 Bytes frei


Verzeichnis von C:\

13.12.2006 19:31 0 sys.txt
13.12.2006 19:30 591 down.txt
13.12.2006 19:30 527 tmp.txt
13.12.2006 19:29 6.859 system.txt
13.12.2006 19:28 702 systemtemp.txt
13.12.2006 19:24 92.861 system32.txt
13.12.2006 18:58 805.306.368 pagefile.sys
13.12.2006 18:36 7.296 avenger.txt
12.12.2006 21:59 8.427 ComboFix.txt
26.11.2006 19:48 7.567 ComboFix2.txt
25.11.2006 19:33 7.796 ComboFix3.txt
16.06.2005 22:52 0 MSDOS.SYS
16.06.2005 22:52 0 IO.SYS
16.06.2005 22:52 0 CONFIG.SYS
16.06.2005 22:52 0 AUTOEXEC.BAT
16.06.2005 22:47 194 boot.ini
18.08.2001 13:00 4.952 bootfont.bin
18.08.2001 13:00 45.124 NTDETECT.COM
18.08.2001 13:00 224.032 ntldr
19 Datei(en) 805.713.296 Bytes
0 Verzeichnis(se), 72.641.392.640 Bytes frei

Habe deine Anweisungen befolgt, warte auf neue.
Viele Grüße, Rolle

#4 poste:

1.
das neue Log vom HijackThis

2.
das neue log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo, bin wieder online; hier die neuen Logs :


Logfile of HijackThis v1.99.1
Scan saved at 18:29:26, on 14.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe



ComboFix 06.11.22 - Running from: "C:\Programme"

((((((((((((((((((((((((((((((( Files Created from 2006-11-14 to 2006-12-14 ))))))))))))))))))))))))))))))))))


2006-12-13 19:07 <DIR> d-------- C:\Programme\regsearch
2006-12-12 22:48 <DIR> d-------- C:\Programme\datFind.logs
2006-12-10 16:17 <DIR> d-------- C:\Programme\Neuer Ordner
2006-12-08 20:23 21,760 --a------ C:\WINDOWS\system32\drivers\USBSTOR.SYS
2006-11-30 22:59 <DIR> d-------- C:\WINDOWS\McAfee.com
2006-11-30 19:49 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Help
2006-11-25 19:59 <DIR> d-------- C:\Programme\CleanUp!
2006-11-25 19:48 <DIR> d-------- C:\Programme\NoAdware4
2006-11-25 19:29 276,878 --a------ C:\Programme\combofix.exe
2006-11-25 18:28 101,888 --a------ C:\WINDOWS\system32\vb6stkit.dll
2006-11-25 18:28 1,386,496 --a------ C:\WINDOWS\system32\msvbvm60.dll
2006-11-25 17:33 151,696 --a------ C:\Programme\FxSasser.exe
2006-11-25 17:27 <DIR> d-------- C:\Programme\clrav
2006-11-25 16:56 143,872 --a------ C:\Programme\avprtool.exe
2006-11-25 16:13 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-11-25 16:13 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-11-25 16:12 <DIR> d-------- C:\Programme\Spyware Doctor
2006-11-25 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\PC Tools
2006-11-25 16:09 8,604,464 --a------ C:\Programme\sdsetup.exe
2006-11-24 23:33 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-11-24 23:33 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-11-24 23:33 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-11-24 23:33 13,687,680 --a------ C:\Programme\Defenza.exe
2006-11-24 23:33 <DIR> d-------- C:\Programme\Defenza
2006-11-24 22:11 166,064 --a------ C:\WINDOWS\system32\FixVundo.exe
2006-11-24 21:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Windows Genuine Advantage
2006-11-21 22:55 <DIR> d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeUM
2006-11-20 21:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2006-11-20 21:38 <DIR> d-------- C:\Programme\Adobe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-13 20:03 -------- d-------- C:\Programme\discountsurfer
2006-12-13 18:29 127378 --a------ C:\Programme\avenger.zip
2006-12-12 22:16 289 --a------ C:\Programme\datFind.zip
2006-11-25 13:42 600 --a------ C:\Programme\FixVundo.log
2006-11-24 23:33 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-24 20:25 2202 --a------ C:\Programme\tool_de.log
2006-11-24 20:16 363008 --a------ C:\Programme\tool_de.com
2006-11-21 22:54 -------- d-------- C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\Adobe
2006-11-21 21:11 33280 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-20 21:40 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-20 21:38 21290704 --a------ C:\Programme\AdbeRdr708_en_US.exe
2006-11-20 21:38 1154 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\AdobeDLM.log
2006-11-20 21:38 0 --a------ C:\Dokumente und Einstellungen\Rolle\Anwendungsdaten\dm.ini
2006-11-02 21:04 36 --a------ C:\Programme\AdbeRdr708_en_US_FEAD_error.log
2006-10-28 21:48 13714856 --a------ C:\Programme\zlsSetup_65_737_000_en.exe
2006-10-28 20:51 -------- d-------- C:\Programme\Gemeinsame Dateien


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"Winamp Agent"="C:\\WINDOWS\\System32\\winamp.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\NetDDEclnt
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\RpcClient

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\FixVundo.job

Completion time: 06-12-14 18:33:39.82
C:\ComboFix.txt ... 06-12-14 18:33
C:\ComboFix2.txt ... 06-12-12 21:59
C:\ComboFix3.txt ... 06-11-26 19:48

C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\VSTASCAN\vsaccess.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.activinet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {BFA60865-F128-47C2-B459-16FDA7AFFD8B} - C:\WINDOWS\System32\awvtq.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SysProtect] C:\Programme\SysProtect Free\USYP.exe /scan
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154859337953
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37960.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA14BDF8-4EF9-4351-BD13-203FB098B0A7}: NameServer = 62.134.11.4 195.182.110.132
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\System32\netddeclnt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: System Service Monitor (servicemon) - Unknown owner - C:\WINDOWS\system32\servicemon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)
O23 - Service: Microsoft Windows Spool Service (Windows Spool Service) - Unknown owner - C:\WINDOWS\wdfmgr.exe (file missing)

Gruß, Rolle

#6 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

{BFA60865-F128-47C2-B459-16FDA7AFFD8B}

SysProtect Free

SysProtect

Microsoft Windows Spool Service

Windows Spool Service

Network DDE Client

NetDDEclnt

Windows Genuine Advantage Registration Service

wgareg


poste, was erscheint

__________________________

poste noch mal die 6 logs von datfindbat - bis Juni 2006 vom Datum her


»
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina, hier die gewünschten logs :


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:15:28 for strings:
; '{bfa60865-f128-47c2-b459-16fda7affd8b}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}]

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:19:17 for strings:
; 'sysprotect free'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06170642-FA65-4FB6-AC79-5F235CB99BC2}\InProcServer32]
@="C:\\Programme\\SysProtect Free\\FxCore.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\ToolboxBitmap32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll, 103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\FWraper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\ToolboxBitmap32]
@="C:\\Programme\\SysProtect Free\\FWraper.dll, 103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0F4BC0F-EAEA-43B5-8CE6-DAD3CC9B29A2}\InProcServer32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAABCDD-7C16-4215-B12E-150BFB994CF0}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\FxCore.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF130E77-0A34-4365-BFB7-218FD3DDCD5F}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\PCheck.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\PCheck.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\FWraper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\FxCore.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\FlFxr15.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\\Programme\\SysProtect Free\\PCheck.dll"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USYP_is1]
"Inno Setup: App Path"="C:\\Programme\\SysProtect Free"
"InstallLocation"="C:\\Programme\\SysProtect Free\\"
"UninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\""
"QuietUninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\" /SILENT"

[HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect Free]

[HKEY_LOCAL_MACHINE\SOFTWARE\Sys_Protect Free]
"InstallPath"="C:\\Programme\\SysProtect Free\\"

[HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:22:16 for strings:
; 'sysprotect'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06170642-FA65-4FB6-AC79-5F235CB99BC2}\InProcServer32]
@="C:\\Programme\\SysProtect Free\\FxCore.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}\ToolboxBitmap32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll, 103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\FWraper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}\ToolboxBitmap32]
@="C:\\Programme\\SysProtect Free\\FWraper.dll, 103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0F4BC0F-EAEA-43B5-8CE6-DAD3CC9B29A2}\InProcServer32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAABCDD-7C16-4215-B12E-150BFB994CF0}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\FxCore.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF130E77-0A34-4365-BFB7-218FD3DDCD5F}\InprocServer32]
@="C:\\Programme\\SysProtect Free\\PCheck.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\PCheck.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\FWraper.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\FxCore.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\MMFx.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\0\win32]
@="C:\\Programme\\SysProtect Free\\FlFxr15.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}\1.0\HELPDIR]
@="C:\\Programme\\SysProtect Free\\"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]
"C:\\Programme\\SysProtect Free\\PCheck.dll"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USYP_is1]
"Inno Setup: App Path"="C:\\Programme\\SysProtect Free"
"InstallLocation"="C:\\Programme\\SysProtect Free\\"
"Inno Setup: Icon Group"="SysProtect Unregistered Version"
"DisplayName"="SysProtect 1.3.152.3"
"UninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\""
"QuietUninstallString"="\"C:\\Programme\\SysProtect Free\\unins000.exe\" /SILENT"
"Publisher"="SysProtect Inc."
"URLInfoAbout"="http://SysProtect.com"
"HelpLink"="http://SysProtect.com"
"URLUpdateInfo"="http://SysProtect.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect]

[HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect\SysProtect]

[HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect Free]

[HKEY_LOCAL_MACHINE\SOFTWARE\Sys_Protect Free]
"InstallPath"="C:\\Programme\\SysProtect Free\\"

[HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\RAS Autodial\Addresses\download.sysprotect.com]

[HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"004"="SysProtect"

[HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5604]
"003"="SysProtect"

[HKEY_USERS\S-1-5-21-1220945662-152049171-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"SysProtect"="C:\\Programme\\SysProtect Free\\USYP.exe /scan"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:24:21 for strings:
; 'microsoft windows spool service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service]
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service]
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service]
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:25:34 for strings:
; 'windows spool service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"Service"="Windows Spool Service"
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service]
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"Service"="Windows Spool Service"
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service]
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000]
"Service"="Windows Spool Service"
"DeviceDesc"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service]
"DisplayName"="Microsoft Windows Spool Service"
"Description"="Microsoft Windows Spool Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service\Enum]

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:26:45 for strings:
; 'network dde client'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT\0000]
"DeviceDesc"="Network DDE Client"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt]
"DisplayName"="Network DDE Client"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT\0000]
"DeviceDesc"="Network DDE Client"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt]
"DisplayName"="Network DDE Client"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000]
"DeviceDesc"="Network DDE Client"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt]
"DisplayName"="Network DDE Client"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:28:28 for strings:
; 'netddeclnt'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT\0000]
"Service"="NetDDEclnt"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt]
; Contents of value:
; c:\windows\system32\netddeclnt.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
6e,65,74,64,64,65,63,6c,6e,74,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt\Enum]
"0"="Root\\LEGACY_NETDDECLNT\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT\0000]
"Service"="NetDDEclnt"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt]
; Contents of value:
; c:\windows\system32\netddeclnt.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
6e,65,74,64,64,65,63,6c,6e,74,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT\0000]
"Service"="NetDDEclnt"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt]
; Contents of value:
; c:\windows\system32\netddeclnt.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
6e,65,74,64,64,65,63,6c,6e,74,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt\Enum]
"0"="Root\\LEGACY_NETDDECLNT\\0000"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:30:13 for strings:
; 'windows genuine advantage registration service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG\0000]
"DeviceDesc"="Windows Genuine Advantage Registration Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg]
"DisplayName"="Windows Genuine Advantage Registration Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG\0000]
"DeviceDesc"="Windows Genuine Advantage Registration Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg]
"DisplayName"="Windows Genuine Advantage Registration Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG\0000]
"DeviceDesc"="Windows Genuine Advantage Registration Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]
"DisplayName"="Windows Genuine Advantage Registration Service"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 15.12.2006 22:31:39 for strings:
; 'wgareg'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG\0000]
"Service"="wgareg"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg]
; Contents of value:
; c:\windows\system32\wgareg.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
77,67,61,72,65,67,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg\Enum]
"0"="Root\\LEGACY_WGAREG\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG\0000]
"Service"="wgareg"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg]
; Contents of value:
; c:\windows\system32\wgareg.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
77,67,61,72,65,67,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG\0000]
"Service"="wgareg"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg]
; Contents of value:
; c:\windows\system32\wgareg.exe
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
77,67,61,72,65,67,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg\Enum]
"0"="Root\\LEGACY_WGAREG\\0000"

; End Of The Log...


Jetzt die 6 Logs von datfindbat :

Verzeichnis von C:\WINDOWS\system32

15.12.2006 22:03 21.828 nvapps.xml
15.12.2006 22:03 48.882 vsconfig.xml
15.12.2006 22:03 2.184 wpa.dbl
15.12.2006 22:03 45.276 ikhcore.log
25.11.2006 17:47 600 FixVundo.log
24.11.2006 23:33 3.120 118290.54
24.11.2006 22:11 166.064 FixVundo.exe
15.11.2006 21:20 10.474.920 MRT.exe
29.10.2006 09:43 316.594 perfh007.dat
29.10.2006 09:43 311.604 perfh009.dat
29.10.2006 09:43 39.992 perfc009.dat
29.10.2006 09:43 48.156 perfc007.dat
29.10.2006 09:43 723.744 PerfStringBackup.INI
28.10.2006 21:52 4.212 zllictbl.dat
23.08.2006 22:38 392.824 vsdatant.sys
23.08.2006 22:38 71.672 zlcommdb.dll
23.08.2006 22:38 83.960 zlcomm.dll
23.08.2006 22:38 440.312 vsutil.dll
23.08.2006 22:38 59.384 vswmi.dll
23.08.2006 22:38 100.344 vsxml.dll
23.08.2006 22:38 71.672 vsregexp.dll
23.08.2006 22:38 268.280 vspubapi.dll
23.08.2006 22:38 157.688 vsinit.dll
23.08.2006 22:38 104.440 vsmonapi.dll
23.08.2006 22:37 83.960 vsdata.dll
18.08.2006 19:13 0 TFTP1432
14.08.2006 21:02 0 2.tmp
14.08.2006 20:45 0 12.tmp
13.08.2006 12:29 0 4F.tmp
13.08.2006 10:42 74 setup.inf
12.08.2006 12:10 307.523 qtvwa.bak1
03.08.2006 20:05 1.024 TFTP596
03.08.2006 19:27 0 TFTP308
18.06.2006 16:54 796.584 libeay32_0.9.6l.dll
17.06.2006 08:55 57.384 avsda.dll


Verzeichnis von C:\DOKUME~1\Rolle\LOKALE~1\Temp

15.12.2006 22:22 16.384 Perflib_Perfdata_c58.dat
14.12.2006 18:28 16.384 ~DF107E.tmp
10.12.2006 06:03 107 DFC5A2B2.TMP
3 Datei(en) 32.875 Bytes
0 Verzeichnis(se), 72.583.217.152 Bytes frei


Verzeichnis von C:\WINDOWS

15.12.2006 22:37 9.060 ModemLog_Standard 56000 bps V90 Modem.txt
15.12.2006 22:03 286 vista32.ini
15.12.2006 22:03 0 0.log
15.12.2006 22:03 1.873.764 WindowsUpdate.log
15.12.2006 22:03 2.048 bootstat.dat
14.12.2006 21:09 32.616 SchedLgU.Txt
13.12.2006 19:02 583 oleco.ini
08.12.2006 22:05 25.565 wiaservc.log
08.12.2006 22:05 14.950 wiadebug.log
08.12.2006 20:26 934.274 setupapi.log
24.11.2006 21:50 5.485 WGA.log
18.11.2006 19:30 2.379 ACROREAD.INI
12.11.2006 13:05 202 wmsetup.log
19.09.2006 21:24 4.264 svcpack.log
07.09.2006 17:13 178.824 iis6.log
07.09.2006 17:13 50.785 comsetup.log
07.09.2006 17:13 1.355 imsins.log
07.09.2006 17:13 28.988 ntdtcsetup.log
07.09.2006 17:13 57.928 tsoc.log
07.09.2006 17:13 7.514 KB893803v2.log
07.09.2006 17:13 6.040 msgsocm.log
07.09.2006 17:13 54.977 ocgen.log
07.09.2006 17:13 4.669 ocmsn.log
07.09.2006 17:13 116.640 FaxSetup.log
07.09.2006 17:13 41.266 msmqinst.log
14.08.2006 20:06 0 keyboard1.dat
03.08.2006 19:41 176 oleco.ple
02.06.2006 22:09 30.655 xpsp1hfm.log
02.06.2006 22:09 1.355 imsins.BAK
02.06.2006 22:09 35.741 KB828741.log
02.06.2006 22:08 29.952 KB835732.log
02.06.2006 22:08 21.242 Q329834.log
02.06.2006 22:08 26.052 KB823559.log
02.06.2006 22:08 20.858 Q329048.log
02.06.2006 22:07 19.930 KB834707-IE6-20040929.115007.log
02.06.2006 22:07 18.545 Q810577.log
02.06.2006 22:07 15.389 Q810833.log
02.06.2006 22:06 12.846 Q811630.log
02.06.2006 22:06 11.359 Q815021.log
02.06.2006 22:05 10.708 Q329441.log
02.06.2006 22:05 10.427 Q817606.log
02.06.2006 22:05 7.393 Q329170.log
02.06.2006 22:04 2.135 Q329115.log
02.06.2006 22:04 1.773 Q329390.log
02.06.2006 22:04 1.416 Q323255.log

Verzeichnis von C:\WINDOWS\Temp

15.12.2006 22:03 256 ZLT028ba.TMP
15.12.2006 22:03 256 ZLT0282c.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 72.583.213.056 Bytes frei


Verzeichnis von C:\WINDOWS\Downloaded Program Files

04.08.2006 15:08 1.656.568 ICSScan.dll
04.08.2006 13:03 470 ICSScanner.inf
27.03.2006 12:00 5.019 swflash.inf
24.02.2006 11:49 882 mcfscan.inf
16.06.2005 22:51 65 desktop.ini
26.05.2005 03:19 293 muweb.inf
30.06.2003 21:41 1.689 WMV9VCM.inf
7 Datei(en) 1.664.986 Bytes
0 Verzeichnis(se), 72.583.213.056 Bytes frei


Verzeichnis von C:\

15.12.2006 22:42 0 sys.txt
15.12.2006 22:41 591 down.txt
15.12.2006 22:41 327 tmp.txt
15.12.2006 22:37 6.859 system.txt
15.12.2006 22:37 404 systemtemp.txt
15.12.2006 22:33 92.861 system32.txt
15.12.2006 22:03 805.306.368 pagefile.sys
14.12.2006 18:33 7.680 ComboFix.txt
13.12.2006 18:36 7.296 avenger.txt
12.12.2006 21:59 8.427 ComboFix2.txt
26.11.2006 19:48 7.567 ComboFix3.txt

mfg, Rolle

#8 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Programme\SysProtect Free\PCheck.dll

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service
HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect Free
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USYP_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06170642-FA65-4FB6-AC79-5F235CB99BC2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0F4BC0F-EAEA-43B5-8CE6-DAD3CC9B29A2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAABCDD-7C16-4215-B12E-150BFB994CF0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF130E77-0A34-4365-BFB7-218FD3DDCD5F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BFA60865-F128-47C2-B459-16FDA7AFFD8B}

Files to delete:
C:\WINDOWS\system32\Machnm64.sys
C:\WINDOWS\system32\Machnm32.sys
C:\WINDOWS\system32\Machnm1.exe
C:\Programme\Defenza.exe
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\system32\118290.54
C:\WINDOWS\system32\TFTP1432
C:\WINDOWS\system32\2.tmp
C:\WINDOWS\system32\12.tmp
C:\WINDOWS\system32\4F.tmp
C:\WINDOWS\system32\setup.inf
C:\WINDOWS\system32\qtvwa.bak1
C:\WINDOWS\system32\TFTP596
C:\WINDOWS\system32\TFTP308
c:\windows\system32\wgareg.exe
c:\windows\system32\netddeclnt.exe
C:\Dokumente und Einstellungen\%Username%\Lokale Einstellungen\Temp\SysProtectScannerSetup.exe

Folders to delete:
C:\Programme\Defenza
C:\Programme\SysProtect Free

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

»»
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

**
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

»»
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo, hier das Log vom Avenger

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iiocrwty

*******************

Script file located at: \??\C:\WINDOWS\kiikyidf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WGAREG deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wgareg deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WGAREG deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgareg deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WGAREG
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wgareg
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDECLNT deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEclnt deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDECLNT deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEclnt deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDECLNT
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEclnt
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\NetDDEclnt deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEclnt deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\NetDDEclnt deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEclnt deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\NetDDEclnt
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEclnt
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Spool Service deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Spool Service deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_SPOOL_SERVICE\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Spool Service
Status: 0xc0000034

File C:\WINDOWS\system32\Machnm64.sys deleted successfully.
File C:\WINDOWS\system32\Machnm32.sys deleted successfully.
File C:\WINDOWS\system32\Machnm1.exe deleted successfully.
File C:\Programme\Defenza.exe deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.
File C:\WINDOWS\system32\118290.54 deleted successfully.
File C:\WINDOWS\system32\TFTP1432 deleted successfully.
File C:\WINDOWS\system32\2.tmp deleted successfully.
File C:\WINDOWS\system32\12.tmp deleted successfully.
File C:\WINDOWS\system32\4F.tmp deleted successfully.
File C:\WINDOWS\system32\setup.inf deleted successfully.
File C:\WINDOWS\system32\qtvwa.bak1 deleted successfully.
File C:\WINDOWS\system32\TFTP596 deleted successfully.
File C:\WINDOWS\system32\TFTP308 deleted successfully.


File c:\windows\system32\wgareg.exe not found!
Deletion of file c:\windows\system32\wgareg.exe failed!

Could not process line:
c:\windows\system32\wgareg.exe
Status: 0xc0000034



File c:\windows\system32\netddeclnt.exe not found!
Deletion of file c:\windows\system32\netddeclnt.exe failed!

Could not process line:
c:\windows\system32\netddeclnt.exe
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\SysProtectScannerSetup.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\SysProtectScannerSetup.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\SysProtectScannerSetup.exe
Status: 0xc0000034

Folder C:\Programme\Defenza deleted successfully.


Folder C:\Programme\SysProtect Free not found!
Deletion of folder C:\Programme\SysProtect Free failed!

Could not process line:
C:\Programme\SysProtect Free
Status: 0xc0000034

Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Programme\SysProtect Free\PCheck.dll deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\SysProtect Free deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USYP_is1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06170642-FA65-4FB6-AC79-5F235CB99BC2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1640DE0E-75E4-4a83-B5D1-2492BC7EBA8F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E87077C-380C-407d-8DAB-EEDAD95C0A5D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B0F4BC0F-EAEA-43B5-8CE6-DAD3CC9B29A2} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCAABCDD-7C16-4215-B12E-150BFB994CF0} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF130E77-0A34-4365-BFB7-218FD3DDCD5F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7EACF70B-302F-4049-AC68-2D62EB43E473} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7FA4EC26-6A28-4474-857D-BB05B001C84A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96D58666-8F00-4A9D-9389-C17AAA2407C9} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E79D5E54-81C9-41AE-9D7B-03F1E5A7733D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F585CB1F-F17D-4007-A573-B663197EF500} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BFA60865-F128-47C2-B459-16FDA7AFFD8B} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BFA60865-F128-47C2-B459-16FDA7AFFD8B} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


und das Ergebnis des Service Filter :

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600
Dez 16, 2006 19:02:09


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir Scheduler
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Planung und Steuerung von Prüf- und Updateaufgaben der AntiVir PersonalEdition ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1396
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Service
Start Mode: Auto
Start Name: LocalSystem
Description: Echtzeit Virenschutz durch H+BEDV AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1416
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 3
Service Name: hwclock
Display Name: Hardware Clock Driver
Start Mode: Auto
Start Name: LocalSystem
Description: Enables a computer to save and restore system time information using the hardware clock. Stopping ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 3
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 4
Service Name: SDhelper
Display Name: PC Tools Spyware Doctor
Start Mode: Auto
Start Name: LocalSystem
Description: Provides spyware and malware protection for the system. If this service is disabled spyware ...
Service Type: Own Process
Path: c:\programme\spyware doctor\sdhelp.exe
State: Running
Process ID: 1500
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 5
Service Name: servicemon
Display Name: System Service Monitor
Start Mode: Auto
Start Name: LocalSystem
Description: This service monitors the status of windows services. If this service is stopped windows may ...
Service Type: Own Process
Path: "c:\windows\system32\servicemon.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #6
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{a570df68-30a5-4aaf-950a-20a50002da1c}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 84 Win32 services on this machine.
6 were unrecognized.

Script Execution Time: 1,15625 seconds.


zum Schluß das Log von hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 19:14:35, on 16.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\discountsurfer\_discountsurfer.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.activinet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SysProtect] C:\Programme\SysProtect Free\USYP.exe /scan
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154859337953
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37960.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4907/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA14BDF8-4EF9-4351-BD13-203FB098B0A7}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: System Service Monitor (servicemon) - Unknown owner - C:\WINDOWS\system32\servicemon.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gruß und Dank, Rolle

#10 kopiere in regsearch:

hwclock

Hardware Clock Driver

servicemon

System Service Monitor

poste, was gefunden wird
__________
MfG Sabina

rund um die PC-Sicherheit

#11 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.12.2006 20:10:37 for strings:
; 'hwclock'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000]
"Service"="hwclock"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock\Enum]
"0"="Root\\LEGACY_HWCLOCK\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK\0000]
"Service"="hwclock"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000]
"Service"="hwclock"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock\Enum]
"0"="Root\\LEGACY_HWCLOCK\\0000"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.12.2006 20:12:58 for strings:
; 'hardware clock driver'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK\0000]
"DeviceDesc"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock]
"DisplayName"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK\0000]
"DeviceDesc"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock]
"DisplayName"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK\0000]
"DeviceDesc"="Hardware Clock Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock]
"DisplayName"="Hardware Clock Driver"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.12.2006 20:14:10 for strings:
; 'servicemon'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON\0000]
"Service"="servicemon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon]
; Contents of value:
; "c:\windows\system32\servicemon.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,\
5c,73,65,72,76,69,63,65,6d,6f,6e,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon\Enum]
"0"="Root\\LEGACY_SERVICEMON\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON\0000]
"Service"="servicemon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon]
; Contents of value:
; "c:\windows\system32\servicemon.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,\
5c,73,65,72,76,69,63,65,6d,6f,6e,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON\0000]
"Service"="servicemon"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon]
; Contents of value:
; "c:\windows\system32\servicemon.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,\
5c,73,65,72,76,69,63,65,6d,6f,6e,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon\Enum]
"0"="Root\\LEGACY_SERVICEMON\\0000"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 16.12.2006 20:15:36 for strings:
; 'system service monitor'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON\0000]
"DeviceDesc"="System Service Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon]
"DisplayName"="System Service Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON\0000]
"DeviceDesc"="System Service Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon]
"DisplayName"="System Service Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON\0000]
"DeviceDesc"="System Service Monitor"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon]
"DisplayName"="System Service Monitor"

; End Of The Log...

mfg, Rolle

#12 Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon

**
scanne und poste den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina, bin endlich mal wieder online; hier die logs vom avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jkgbhjqy

*******************

Script file located at: \??\C:\WINDOWS\System32\cqvttgdj.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HWCLOCK
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SERVICEMON deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\servicemon deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SERVICEMON deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\servicemon deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SERVICEMON
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\servicemon
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


und hier der Scan-Report :

A0007497.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.PWS.Wbopen;Gelöscht.;
A0008628.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0008628.exe;Trojan.Virtumod;;
A0008628.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0008628.exe;Trojan.Virtumod;;
A0008628.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0008634.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.;
A0009634.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0009634.exe;Trojan.Virtumod;;
A0009634.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0009634.exe;Trojan.Virtumod;;
A0009634.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0009636.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.;
A0009637.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.DownLoader.10963;Gelöscht.;
A0010628.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0010628.exe;Trojan.Virtumod;;
A0010628.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0010628.exe;Trojan.Virtumod;;
A0010628.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0011634.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.;
A0011642.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0011642.exe;Trojan.Virtumod;;
A0011642.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0011642.exe;Trojan.Virtumod;;
A0011642.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0012667.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0012667.exe;Trojan.Virtumod;;
A0012667.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0012667.exe;Trojan.Virtumod;;
A0012667.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0012669.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Trojan.Virtumod;Gelöscht.;
A0013667.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013667.exe;Trojan.Virtumod;;
A0013667.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013667.exe;Trojan.Virtumod;;
A0013667.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0013693.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013693.exe;Trojan.Virtumod;;
A0013693.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013693.exe;Trojan.Virtumod;;
A0013693.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0013730.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013730.exe;Trojan.Virtumod;;
A0013730.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0013730.exe;Trojan.Virtumod;;
A0013730.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0014815.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014815.exe;Trojan.Virtumod;;
A0014815.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014815.exe;Trojan.Virtumod;;
A0014815.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0014825.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014825.exe;Trojan.Virtumod;;
A0014825.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014825.exe;Trojan.Virtumod;;
A0014825.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0014827.exe\data001;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014827.exe;Trojan.Virtumod;;
A0014827.exe\data002;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30\A0014827.exe;Trojan.Virtumod;;
A0014827.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP30;Archiv enthält infizierte Objekte;Verschoben.;
A0024510.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.PWS.Wbopen;Gelöscht.;
A0024511.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024512.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024513.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024515.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024516.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024517.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024518.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024519.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0024520.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP35;Trojan.Virtumod;Gelöscht.;
A0047336.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP41;Trojan.Fakealert;Gelöscht.;
A0048063.dll;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP41;Trojan.Virtumod;Gelöscht.;
A0048068.exe;C:\System Volume Information\_restore{0EBDE252-8E10-4EBB-AADE-A89CC2EA7945}\RP41;Trojan.Fakealert;Gelöscht.;
USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.1;Trojan.DownLoader.10963;Gelöscht.;
USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.2;Trojan.DownLoader.10963;Gelöscht.;
USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.3;Trojan.DownLoader.10963;Gelöscht.;
USYP_0002_N91M1708NetInstaller.exe;C:\WINDOWS\Downloaded Program Files\CONFLICT.4;Trojan.DownLoader.10963;Gelöscht.;

mfg, Rolle

#14 rolle

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://virus-protect.org/systemwiederherstellung.html

»»
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html

___________

und ehe ich es vergesse - mache die Windowsupdates, dein Rechner ist voellig ungeschuetzt - noch mal reinige ich keinen ungepatchten PC - da sinnlos
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi Sabina,
1. Habe ständig Zone Alarm und Avira AntiVir-Wächter laufen, wieso ist dann mein Rechner völlig ungeschützt ?
2.Beim letzten Windows-Update Versuch bekam ich als Antwort der Key meines Betriebssystems wäre gefälscht, was nu ?? Kann man die Updates von sonst wo runterladen ?

3. Lade gerade den Kapersky-Scanner runter, muß ich dann im abgesicherten Modus scannen ?

Konnte im abgesicherten Modus nicht scannen, hier der Scan-Report aus dem normalen Modus !

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 19. Dezember 2006 22:12:10
Betriebssystem: Microsoft Windows XP Professional, (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 19/12/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 238016

Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
A:\
C:\
D:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 24599
Viren gefunden 2
Infizierte Objekte gefunden 33 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:13:48

Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0008628.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0008628.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0008628.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0009634.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0009634.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0009634.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0010628.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0010628.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0010628.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0011642.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0011642.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0011642.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0012667.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0012667.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.Adload.cy übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0012667.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013667.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013667.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013667.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013693.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013693.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013693.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013730.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013730.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0013730.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014815.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014815.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014815.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014825.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014825.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014825.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014827.exe/data.rar/dreve.exe Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014827.exe/data.rar Infizierte Objekte: Trojan-Downloader.Win32.VB.ajz übersprungen
C:\Dokumente und Einstellungen\Rolle\DoctorWeb\Quarantine\A0014827.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006120420061211\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121120061218\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121820061219\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006121920061220\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Rolle\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\oakley.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\ROLAND-81MEUS0G.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT02b68.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT07bff.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
mfg, Rolle