Virusburst-entfernen durch Avenger funktioniert nicht!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
13.12.2006, 13:41
...neu hier
Beiträge: 4 |
||
|
||
13.12.2006, 14:50
Ehrenmitglied
Beiträge: 29434 |
#2
konnerl82
das ist eine andere variante - ich muss "graben" stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2006, 16:59
...neu hier
Themenstarter Beiträge: 4 |
#3
Hey Sabina,
vielen Dank für Deine schnelle Reaktion. Den Cleanup kann ihc nicht runterladen.Service Temporarily Unavailable!!!! Gibts eine andere Möglichkeit?Es ist nicht vergleichbar mit Sweepi etc?Das habe ich schon angewendet. Also hier kommen erstmal die logs aus datfindbat: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F413-A1E9 Verzeichnis von C:\WINDOWS\system32 13.12.2006 12:52 0 tmp.txt 13.12.2006 12:52 2.106 tmp.reg 13.12.2006 02:46 19.456 rosdzop.dll 13.12.2006 02:45 4.286 ot.ico 13.12.2006 02:45 4.286 ts.ico 10.12.2006 13:06 2.206 wpa.dbl 01.12.2006 05:20 79.360 swxcacls.exe 19.11.2006 04:31 191.384 FNTCACHE.DAT 16.11.2006 18:59 8.775 jupdate-1.5.0_08-b03.log 16.11.2006 17:45 239 NVU001.nvu 16.11.2006 17:44 311.604 perfh009.dat 16.11.2006 17:44 39.992 perfc009.dat 16.11.2006 17:44 48.156 perfc007.dat 16.11.2006 17:44 316.594 perfh007.dat 16.11.2006 17:44 723.744 PerfStringBackup.INI 16.11.2006 17:34 386 $winnt$.inf 16.11.2006 17:32 2.951 CONFIG.NT 16.11.2006 17:31 16.832 amcompat.tlb 16.11.2006 17:31 23.392 nscompat.tlb 16.11.2006 17:31 488 WindowsLogon.manifest Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F413-A1E9 Verzeichnis von C:\DOKUME~1\KONRAD~1\LOKALE~1\Temp 13.12.2006 16:25 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}15387.html 13.12.2006 15:52 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}26845.html 13.12.2006 14:15 59.964 Adobelm_Cleanup.0001 13.12.2006 14:15 896 TWAIN.LOG 13.12.2006 14:15 3 Twain001.Mtx 13.12.2006 14:15 156 Twunk001.MTX 13.12.2006 14:11 0 Twunk002.MTX 13.12.2006 14:01 1.020 ~ROMFN_0000060C 13.12.2006 13:22 173 jusched.log 13.12.2006 13:18 16.384 ~DF375B.tmp 13.12.2006 13:18 512 ~DF14CC.tmp 13.12.2006 13:18 16.384 ~DF14BB.tmp 12 Datei(en) 97.453 Bytes 0 Verzeichnis(se), 4.363.505.664 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F413-A1E9 Verzeichnis von C:\WINDOWS 13.12.2006 16:07 1.299 wiadebug.log 13.12.2006 13:17 0 0.log 13.12.2006 13:17 50 wiaservc.log 13.12.2006 13:17 2.048 bootstat.dat 13.12.2006 13:07 966 WindowsUpdate.log 13.12.2006 03:07 116 NeroDigital.ini 20.11.2006 14:30 477 win.ini 16.11.2006 18:34 316.640 WMSysPr9.prx 16.11.2006 18:22 400 ODBC.INI 16.11.2006 17:49 558 SchedLgU.Txt 16.11.2006 17:43 3.611 Ascd_tmp.ini 16.11.2006 17:32 0 control.ini 16.11.2006 17:31 4.161 ODBCINST.INI 16.11.2006 17:31 749 WindowsShell.Manifest 16.11.2006 17:29 36 vb.ini 16.11.2006 17:29 37 vbaddin.ini 16.11.2006 17:25 0 Sti_Trace.log 16.11.2006 17:23 231 system.ini Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F413-A1E9 Verzeichnis von C:\WINDOWS\Temp 13.12.2006 13:17 16.384 ~DFE783.tmp 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 4.366.749.696 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F413-A1E9 Verzeichnis von C:\WINDOWS\Downloaded Program Files 04.12.2006 15:16 144 QTPlugin.inf 16.11.2006 17:31 65 desktop.ini 09.11.2006 14:36 5.019 swflash.inf 07.03.2003 11:25 114.600 IDropDEU.dll 14.02.2003 10:34 114.848 IDropENU.dll 14.02.2003 10:32 283.296 IDrop.ocx 6 Datei(en) 517.972 Bytes 0 Verzeichnis(se), 4.366.749.696 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: F413-A1E9 Verzeichnis von C:\ 13.12.2006 16:58 0 sys.txt 13.12.2006 16:58 542 down.txt 13.12.2006 16:57 276 tmp.txt 13.12.2006 16:57 3.393 system.txt 13.12.2006 16:56 946 systemtemp.txt 13.12.2006 16:54 98.263 system32.txt 13.12.2006 13:17 42.559 ComboFix.txt 13.12.2006 13:16 1.073.270.784 hiberfil.sys 13.12.2006 13:16 1.610.612.736 pagefile.sys 13.12.2006 12:52 2.730 rapport.txt 13.12.2006 12:32 398 avenger.txt 16.11.2006 17:32 0 CONFIG.SYS 16.11.2006 17:32 0 AUTOEXEC.BAT 16.11.2006 17:32 0 MSDOS.SYS 16.11.2006 17:32 0 IO.SYS 16.11.2006 17:28 211 boot.ini 31.10.2005 16:56 700.416 StubInstaller.exe 03.08.2004 21:59 251.184 ntldr 03.08.2004 21:38 47.564 NTDETECT.COM 18.08.2001 13:00 4.952 bootfont.bin 20 Datei(en) 2.685.036.954 Bytes 0 Verzeichnis(se), 4.366.745.600 Bytes frei MFG Konnerl |
|
|
||
13.12.2006, 17:57
Ehrenmitglied
Beiträge: 29434 |
#4
1.
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\swxcacls.exe poste den report ___________________________________________________________ 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb «« scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen) http://virus-protect.org/artikel/tools/smitfrautfix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2006, 18:08
...neu hier
Themenstarter Beiträge: 4 |
#5
Hey,
das kam bei virustotal raus: AntiVir 7.3.0.15 12.13.2006 no virus found Authentium 4.93.8 12.12.2006 could be a corrupted executable file Avast 4.7.892.0 12.13.2006 no virus found AVG 386 12.13.2006 no virus found BitDefender 7.2 12.13.2006 no virus found CAT-QuickHeal 8.00 12.13.2006 no virus found ClamAV devel-20060426 12.13.2006 no virus found DrWeb 4.33 12.13.2006 no virus found eSafe 7.0.14.0 12.13.2006 suspicious Trojan/Worm eTrust-InoculateIT 23.73.84 12.13.2006 no virus found eTrust-Vet 30.3.3248 12.13.2006 no virus found Ewido 4.0 12.13.2006 no virus found Fortinet 2.82.0.0 12.13.2006 suspicious F-Prot 3.16f 12.12.2006 no virus found F-Prot4 4.2.1.29 12.12.2006 no virus found Ikarus T3.1.0.26 12.13.2006 no virus found Kaspersky 4.0.2.24 12.13.2006 no virus found McAfee 4917 12.12.2006 no virus found Microsoft 1.1804 12.13.2006 no virus found NOD32v2 1919 12.13.2006 no virus found Norman 5.80.02 12.13.2006 no virus found Panda 9.0.0.4 12.13.2006 no virus found Prevx1 V2 12.13.2006 no virus found Sophos 4.12.0 12.13.2006 no virus found Sunbelt 2.2.907.0 11.30.2006 no virus found TheHacker 6.0.3.131 12.10.2006 no virus found UNA 1.83 12.13.2006 no virus found VBA32 3.11.1 12.12.2006 no virus found VirusBuster 4.3.15:9 12.13.2006 no virus found Aditional Information File size: 79360 bytes MD5: ef5dc4cf7c39cfb4653859878c14d86c SHA1: 82ab38d121c5d6ccce79d0e63bf51604cd3c9fd6 packers: UPX packers: UPX packers: UPX Und was den Avenger angeht,so soll ich doch den Punkt Input Skript manually anklicken und dort deine Angaben reinhauen?Habe ich gaten.Fehlermeldung:selected file does not appear to be a valid script. Was tun? |
|
|
||
13.12.2006, 18:10
Ehrenmitglied
Beiträge: 29434 |
#6
versuche es noch mal - das script ist korrekt - lade diese Seite noch mal neu, und kopiere das script in Input Skript manually (bitte ohne "Zitat" reinkopieren)....
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.12.2006, 21:08
...neu hier
Themenstarter Beiträge: 4 |
#7
Okay.
Hat geklappt!Ich war mal wieder zu unfähig!Vielen Dank Sabina! Das log von SmitfraudFix: SmitFraudFix v2.129 Scan done at 21:04:46,34, 13.12.2006 Run from C:\Dokumente und Einstellungen\Konrad Larry\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 C:\WINDOWS\system32\ot.ico FOUND ! C:\WINDOWS\system32\rosdzop.dll FOUND ! C:\WINDOWS\system32\ts.ico FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Konrad Larry »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Konrad Larry\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{bb720bab-2f75-456b-a850-04d77b20f6b8}"="impasse" [HKEY_CLASSES_ROOT\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32] @="C:\WINDOWS\system32\rosdzop.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32] @="C:\WINDOWS\system32\rosdzop.dll" »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End SmitFraudFix v2.129 Scan done at 21:05:05,20, 13.12.2006 Run from C:\Dokumente und Einstellungen\Konrad Larry\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{bb720bab-2f75-456b-a850-04d77b20f6b8}"="impasse" [HKEY_CLASSES_ROOT\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32] @="C:\WINDOWS\system32\rosdzop.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{bb720bab-2f75-456b-a850-04d77b20f6b8}\InProcServer32] @="C:\WINDOWS\system32\rosdzop.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\rosdzop.dll Deleted C:\WINDOWS\system32\ts.ico Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Keine Ahnung ob das noch wichtig ist.Das Alert-Zeichen aus der Taskleiste ist jedenfalls verschwunden!Geil! Ich hoffe wir hören uns nicht so schnell wieder! Alles Gute MFG konnerl |
|
|
||
ich hoffe ich komme in Deine Obhut Sabina.Du scheinst ja hier wirklich alle Probleme lösen zu können.Ich stelle mal direkt die diversen logs rein.
Ich fange mal mit Hijackthis an:
Logfile of HijackThis v1.99.1
Scan saved at 13:23:17, on 13.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
G:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\regedit.exe
C:\Dokumente und Einstellungen\Konrad Larry\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - G:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Safety Bar - {18668683-731c-48fa-b1b9-ad013748fb00} - C:\Programme\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ICQ Lite] "G:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://G:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2564EB7F-FB99-4041-B154-C043A8ED7C46}: NameServer = 145.253.2.11,145.253.2.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CA39B4A-FA76-41B6-B846-3587F446E7CC}: NameServer = 145.253.2.11,145.253.2.75
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
COMBOFIX
Konrad Larry - 06-12-13 13:15:55,51 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Dokumente und Einstellungen\Konrad Larry\Desktop"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\WINDOWS\system32\ixt0.dll
((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 ))))))))))))))))))))))))))))))))))
2006-12-13 12:39 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\DoctorWeb
2006-12-13 12:36 2,106 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-13 12:35 79,360 --a------ C:\WINDOWS\system32\swxcacls.exe
2006-12-13 12:35 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2006-12-13 12:35 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-12-13 12:35 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-12-13 12:35 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-12-13 12:19 <DIR> d-------- C:\Avenger
2006-12-13 02:46 19,456 --a------ C:\WINDOWS\system32\rosdzop.dll
2006-12-07 21:11 <DIR> d-------- C:\Programme\QuickTime
2006-12-02 23:27 <DIR> d-------- C:\Programme\Kaspersky Lab
2006-12-02 23:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2006-11-29 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Azureus
2006-11-27 19:12 <DIR> d-------- C:\WINDOWS\Cache
2006-11-21 23:44 <DIR> d-------- C:\Temp
2006-11-20 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Opera
2006-11-20 00:07 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2006-11-20 00:07 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Canon
2006-11-20 00:06 <DIR> d-------- C:\Programme\Canon
2006-11-20 00:05 57,344 --a------ C:\WINDOWS\system32\CNQU111.DLL
2006-11-20 00:05 274,432 --a------ C:\WINDOWS\system32\CNQL1212.dll
2006-11-20 00:05 <DIR> d--h----- C:\CanoScan
2006-11-19 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Application Data
2006-11-18 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2006-11-18 22:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-11-17 10:18 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2006-11-17 03:11 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Ahead
2006-11-17 03:08 <DIR> d-------- C:\Programme\Nero
2006-11-17 03:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2006-11-17 02:42 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Incomplete
2006-11-17 02:34 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2006-11-16 21:02 <DIR> d-------- C:\Programme\Rainlendar2
2006-11-16 21:02 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\.rainlendar2
2006-11-16 21:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2006-11-16 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\AdobeUM
2006-11-16 20:53 <DIR> d-------- C:\Programme\Adobe
2006-11-16 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe
2006-11-16 20:52 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2006-11-16 20:52 <DIR> d-------- C:\Programme\Yahoo!
2006-11-16 20:50 64,512 --a------ C:\WINDOWS\system32\MSCC2DE.DLL
2006-11-16 20:50 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2006-11-16 20:50 158,208 --a------ C:\WINDOWS\system32\MSCMCDE.DLL
2006-11-16 20:50 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2006-11-16 20:50 <DIR> d-------- C:\Programme\PDFCreator
2006-11-16 20:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-16 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Adobe
2006-11-16 20:15 <DIR> d-------- C:\kav
2006-11-16 19:22 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Macromedia
2006-11-16 18:59 <DIR> d-------- C:\Programme\Java
2006-11-16 18:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2006-11-16 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Macrovision
2006-11-16 18:57 54,784 --a------ C:\WINDOWS\system32\drivers\CDAC11BA.EXE
2006-11-16 18:57 12,464 --a------ C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2006-11-16 18:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2006-11-16 18:57 <DIR> d-------- C:\Programme\Autodesk
2006-11-16 18:57 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\.limewire
2006-11-16 18:56 <DIR> d-------- C:\WINDOWS\system32\Common Files
2006-11-16 18:56 <DIR> d-------- C:\Programme\Microsoft Office
2006-11-16 18:56 <DIR> d-------- C:\Programme\AnswerWorks 4.0
2006-11-16 18:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Autodesk Shared
2006-11-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Autodesk
2006-11-16 18:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2006-11-16 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\vlc
2006-11-16 18:42 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2006-11-16 18:42 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2006-11-16 18:42 33,792 --a------ C:\WINDOWS\system32\CMDLGDE.DLL
2006-11-16 18:42 24,576 --a------ C:\WINDOWS\system32\CMCT2DE.dll
2006-11-16 18:42 112,640 --a------ C:\WINDOWS\system32\CMCTLde.DLL
2006-11-16 18:42 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-16 18:38 <DIR> d-------- C:\Programme\Lavasoft
2006-11-16 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\Lavasoft
2006-11-16 18:34 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2006-11-16 18:34 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2006-11-16 18:34 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2006-11-16 18:34 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-16 18:34 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-11-16 18:34 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2006-11-16 18:34 <DIR> d-------- C:\WINDOWS\RegisteredPackages
2006-11-16 18:34 <DIR> d-------- C:\Program Files
2006-11-16 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\Konrad Larry\Anwendungsdaten\ICQLite
2006-11-16 18:33 <DIR> d-------- C:\Programme\Winamp
2006-11-16 18:24 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2006-11-16 18:24 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2006-11-16 18:22 <DIR> d-------- C:\WINDOWS\ShellNew
2006-11-16 18:22 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-11-16 18:17 <DIR> dr-hsc--- C:\WINDOWS\system32\dllcache
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Rainlendar2"="C:\\Programme\\Rainlendar2\\Rainlendar2.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="G:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"nForce Tray Options"="sstray.exe /r"
"ICQ Lite"="\"G:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"kav"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""
@=""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{bb720bab-2f75-456b-a850-04d77b20f6b8}"="impasse"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-13 13:17:28.76
C:\ComboFix.txt ... 06-12-13 13:17
und das ist bei der regsearch rausgekommen:
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0
; Results at 13.12.2006 12:17:34 for strings:
; 'virusbursters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
; End Of The Log...
Vielen Dank schon mal im voraus....