mir unbekannter Virus(?) beendet Windows FirewallThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
19.12.2006, 23:09
...neu hier
Beiträge: 9 |
||
|
||
20.12.2006, 04:20
Ehrenmitglied
Beiträge: 29434 |
#2
das ist ein Haxdoor-Trojaner
http://www.f-secure.com/blacklight/ starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste das log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.12.2006, 15:03
...neu hier
Themenstarter Beiträge: 9 |
#3
gemacht
12/20/06 14:58:44 [Info]: BlackLight Engine 1.0.47 initialized 12/20/06 14:58:44 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/20/06 14:58:45 [Note]: 7019 4 12/20/06 14:58:45 [Note]: 7005 0 12/20/06 14:58:47 [Note]: 7006 0 12/20/06 14:58:47 [Note]: 7011 1716 12/20/06 14:58:47 [Note]: 7026 0 12/20/06 14:58:47 [Note]: 7026 0 12/20/06 14:58:53 [Note]: FSRAW library version 1.7.1020 12/20/06 15:04:27 [Note]: 2000 1012 12/20/06 15:05:53 [Note]: 7007 0 |
|
|
||
20.12.2006, 19:40
Ehrenmitglied
Beiträge: 29434 |
#4
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) syst8xl in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html «« Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 14:14
...neu hier
Themenstarter Beiträge: 9 |
#5
REGEDIT4
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 21.12.2006 14:02:36 for strings: ; 'syst8xl' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="C:\\WINDOWS\\system32\\syst8xl.dll" ; End Of The Log... 2. gemacht 3. system32.txt Datentr„ger in Laufwerk C: ist Win XP Volumeseriennummer: 6C3C-F0EE Verzeichnis von C:\WINDOWS\system32 21.12.2006 13:46 54.112 vsconfig.xml 21.12.2006 13:46 13.646 wpa.dbl 19.12.2006 16:32 4.212 zllictbl.dat 18.12.2006 21:00 4.096 syst8xl.dll 18.12.2006 21:00 10.929 systo.exe 16.12.2006 19:57 98.304 CmdLineExt.dll 13.12.2006 19:16 1.446 tmp.reg 13.12.2006 19:16 0 tmp.txt 12.12.2006 14:26 160.344 FNTCACHE.DAT 06.12.2006 15:30 34.064 lhacm.acm 01.12.2006 05:20 79.360 swxcacls.exe 16.11.2006 06:20 10.474.920 MRT.exe 15.11.2006 16:06 16.832 amcompat.tlb systemtemp.txt Datentr„ger in Laufwerk C: ist Win XP Volumeseriennummer: 6C3C-F0EE Verzeichnis von C:\DOKUME~1\Snake\LOKALE~1\Temp 21.12.2006 13:59 16.384 ~DF4A5C.tmp 21.12.2006 13:59 512 ~DF407B.tmp 21.12.2006 13:59 16.384 ~DF405B.tmp 3 Datei(en) 33.280 Bytes 0 Verzeichnis(se), 1.517.043.712 Bytes frei system.txt Datentr„ger in Laufwerk C: ist Win XP Volumeseriennummer: 6C3C-F0EE Verzeichnis von C:\WINDOWS 21.12.2006 13:59 619 win.ini 21.12.2006 13:46 159 wiadebug.log 21.12.2006 13:46 1.422.297 WindowsUpdate.log 21.12.2006 13:46 50 wiaservc.log 21.12.2006 13:46 0 0.log 21.12.2006 13:46 2.048 bootstat.dat 20.12.2006 19:58 32.564 SchedLgU.Txt 13.12.2006 18:04 227 system.ini 13.12.2006 17:53 721.215 setupapi.log 13.12.2006 17:52 23.743 hhdrvi.log tmp.txt Datentr„ger in Laufwerk C: ist Win XP Volumeseriennummer: 6C3C-F0EE Verzeichnis von C:\WINDOWS\Temp 21.12.2006 13:46 256 ZLT00091.TMP 21.12.2006 13:46 256 ZLT0008e.TMP 2 Datei(en) 512 Bytes 0 Verzeichnis(se), 1.517.043.712 Bytes frei down.txt Datentr„ger in Laufwerk C: ist Win XP Volumeseriennummer: 6C3C-F0EE Verzeichnis von C:\WINDOWS\Downloaded Program Files 25.07.2006 20:19 65 desktop.ini 26.05.2005 04:19 293 muweb.inf 16.06.2004 05:02 323.584 isusweb.dll 25.07.2002 17:13 24.576 dwusplay.dll 25.07.2002 17:13 196.608 dwusplay.exe 5 Datei(en) 545.126 Bytes 0 Verzeichnis(se), 1.515.786.240 Bytes frei sys.txt Datentr„ger in Laufwerk C: ist Win XP Volumeseriennummer: 6C3C-F0EE Verzeichnis von C:\ 21.12.2006 14:17 0 sys.txt 21.12.2006 14:16 485 down.txt 21.12.2006 14:16 320 tmp.txt 21.12.2006 14:16 9.306 system.txt 21.12.2006 14:16 383 systemtemp.txt 21.12.2006 14:15 103.798 system32.txt 21.12.2006 13:46 1.073.008.640 hiberfil.sys 20.12.2006 15:51 160 crashAddress.txt 19.12.2006 23:08 16.776 ComboFix.txt 18.12.2006 21:11 18.135 ComboFix2.txt 13.12.2006 18:04 211 boot.ini « |
|
|
||
21.12.2006, 14:22
Ehrenmitglied
Beiträge: 29434 |
#6
NobodySnake
1. ueberpruefe, damit ich weiss, wie der Virus heisst und welche Scanner ihn erkennen virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\syst8xl.dll C:\WINDOWS\system32\systo.exe poste hier die reporte _________________________________________________________ Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat Registry values to replace with dummy:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 14:56
...neu hier
Themenstarter Beiträge: 9 |
#7
1.
STATUS: FINISHEDComplete scanning result of "syst8xl.dll", received in VirusTotal at 12.21.2006, 14:49:09 (CET). Antivirus Version Update Result AntiVir 7.3.0.19 12.21.2006 no virus found Authentium 4.93.8 12.21.2006 could be infected with an unknown virus Avast 4.7.892.0 12.21.2006 no virus found AVG 386 12.20.2006 Downloader.Small BitDefender 7.2 12.21.2006 Trojan.Downloader.Small.BXW CAT-QuickHeal 8.00 12.20.2006 no virus found ClamAV devel-20060426 12.21.2006 Trojan.Downloader.Small-3016 DrWeb 4.33 12.21.2006 Trojan.DownLoader.14310 eSafe 7.0.14.0 12.19.2006 no virus found eTrust-InoculateIT 23.73.93 12.21.2006 no virus found eTrust-Vet 30.3.3268 12.21.2006 Win32/Logho Ewido 4.0 12.21.2006 Downloader.Small.cyn Fortinet 2.82.0.0 12.21.2006 W32/Small.BXW!tr.dldr F-Prot 3.16f 12.21.2006 could be infected with an unknown virus F-Prot4 4.2.1.29 12.21.2006 no virus found Ikarus T3.1.0.27 12.21.2006 no virus found Kaspersky 4.0.2.24 12.21.2006 Trojan-Downloader.Win32.Small.cyn McAfee 4923 12.20.2006 no virus found Microsoft 1.1904 12.21.2006 no virus found NOD32v2 1932 12.20.2006 Win32/TrojanDownloader.Small.CYN Norman 5.80.02 12.20.2006 W32/DLoader.gen5 Panda 9.0.0.4 12.21.2006 Trj/Downloader.LFO Prevx1 V2 12.21.2006 no virus found Sophos 4.12.0 12.21.2006 Troj/Foghor-Gen Sunbelt 2.2.907.0 12.18.2006 no virus found TheHacker 6.0.3.135 12.20.2006 no virus found UNA 1.83 12.20.2006 no virus found VBA32 3.11.1 12.20.2006 no virus found VirusBuster 4.3.19:9 12.21.2006 Trojan.DL.Small.Gen.22 Aditional Information File size: 4096 bytes MD5: 0f3fa150d368ef257220223c27e62e1f SHA1: 8b73c11d5f67b5665f3bcad681047ba9ebc921ac STATUS: FINISHEDComplete scanning result of "systo.exe", received in VirusTotal at 12.21.2006, 14:52:52 (CET). Antivirus Version Update Result AntiVir 7.3.0.19 12.21.2006 TR/Dldr.Small.crd.294 Authentium 4.93.8 12.21.2006 Possibly a new variant of W32/new-malware!Maximus Avast 4.7.892.0 12.21.2006 no virus found AVG 386 12.20.2006 Downloader.Generic3.CAX BitDefender 7.2 12.21.2006 no virus found CAT-QuickHeal 8.00 12.20.2006 (Suspicious) - DNAScan ClamAV devel-20060426 12.21.2006 no virus found DrWeb 4.33 12.21.2006 Trojan.DownLoader.14391 eSafe 7.0.14.0 12.19.2006 Suspicious Trojan/Worm eTrust-InoculateIT 23.73.93 12.21.2006 no virus found eTrust-Vet 30.3.3268 12.21.2006 no virus found Ewido 4.0 12.21.2006 Downloader.Small.crd Fortinet 2.82.0.0 12.21.2006 W32/Agent.AEF!tr.dldr F-Prot 3.16f 12.21.2006 Possibly a new variant of W32/new-malware!Maximus F-Prot4 4.2.1.29 12.21.2006 W32/new-malware!Maximus Ikarus T3.1.0.27 12.21.2006 Trojan-Downloader.Win32.Agent.uj Kaspersky 4.0.2.24 12.21.2006 Trojan-Downloader.Win32.Small.crd McAfee 4923 12.20.2006 no virus found Microsoft 1.1904 12.21.2006 no virus found NOD32v2 1932 12.20.2006 a variant of Win32/TrojanDownloader.Agent.AEF Norman 5.80.02 12.20.2006 W32/DLoader.BKNE Panda 9.0.0.4 12.21.2006 Suspicious file Prevx1 V2 12.21.2006 Covert.Sys.Exec Sophos 4.12.0 12.21.2006 Mal/Packer Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious TheHacker 6.0.3.135 12.20.2006 no virus found UNA 1.83 12.20.2006 TrojanDownloader.Win32.Small.2F49 VBA32 3.11.1 12.20.2006 Trojan.DownLoader.14391 VirusBuster 4.3.19:9 12.21.2006 novirusacked/FSG Aditional Information File size: 10929 bytes MD5: d3ed27eb6202e1e0dc1940597d846dcd SHA1: bae62df004c627420d6ac103cb5a3e1bfdf1e3e6 packers: FSG packers: FSG Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=c22661664409 Sunbelt info: VIPRE.Suspicious is a generic detection for potential Thread that are deemed suspicious through heuristics. 2. Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\tldypler ******************* Script file located at: \??\C:\yuynedda.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\syst8xl.dll deleted successfully. File C:\WINDOWS\system32\systo.exe deleted successfully. Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
||
21.12.2006, 15:02
Ehrenmitglied
Beiträge: 29434 |
#8
im Grunde muesste wieder alles i.o. sein
loesche das backup vom Avenger unter c:\Avenger\backup.zip ud mache im abgesicherten Modus einen Scan mit deinem Antivirus . dann berichte, wie es laueft wenn du Zeit hast, mache dann noch einen Onlinescan mit kaspersky - und poste den scanreport http://virus-protect.org/onlinescan.html _________ wenn das erledigt ist, kuemmern wir uns um die Firewall. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.12.2006, 17:55
...neu hier
Themenstarter Beiträge: 9 |
#9
vielen Dank erstmal für die schnelle und kompetente Hilfe
Backup hab ich gelöscht Antivir Scan brachte folgendes zu Tage: ------------------------------------------------------------------------------- PROTOKOLL FÜR KASPERSKY ONLINE SCANNER Donnerstag, 21. Dezember 2006 17:54:17 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600) Version von Kaspersky Online Scanner: 5.0.83.0 Letztes Update der Antiviren-Datenbanken: 21/12/2006 Anzahl der Einträge in den Antiviren-Datenbanken: 239130 ------------------------------------------------------------------------------- Scan-Einstellungen: Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard Archive untersuchen: ja Mail-Datenbanken untersuchen: ja Untersuchungsobjekt - Arbeitsplatz: A:\ C:\ D:\ E:\ F:\ G:\ H:\ I:\ Untersuchungsergebnisse: Untersuchte Objekte insgesamt: 113606 Viren gefunden: 5 Infizierte Objekte gefunden: 14 / 0 Verdächtige Objekte gefunden: 0 Untersuchungszeit: 01:52:05 Name des infizierten Objekts / Virusname / Letzte Aktion C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\ph Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\variable Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\Apps.Lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\main.idx Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\sap.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\spool.lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\STYLE.LST Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\sysnews.lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\Toolbar.lst Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\CACHE\juliangwestph03 Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\juliangwestphal Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\juliangwestphal.abi Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\juliangwestphal.aby Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\ShopAssist\DataStore\global\clientcache.adb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\ShopAssist\DataStore\users\JulianGWestphal.adb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\cache.db Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\server.lock Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\stderr.txt Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\stdout.txt Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Cookies\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temp\~DFA4FD.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temp\~DFA532.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temp\~DFB9C1.tmp Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2NU12V8D\AppID_3390[1].txt Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006122120061222\index.dat Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\NTUSER.DAT Das Objekt ist gesperrt übersprungen C:\Dokumente und Einstellungen\Snake\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen C:\Programme\avenger\backup.zip/avenger/qrzsyr.dll Infizierte Objekte: Trojan-Downloader.Win32.Agent.bdj übersprungen C:\Programme\avenger\backup.zip ZIP: infiziert - 1 übersprungen C:\Programme\Gemeinsame Dateien\aol\ACS\DE\static Das Objekt ist gesperrt übersprungen C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP128\A0046984.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bej übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP129\A0047729.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bej übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP131\A0047978.dll Infizierte Objekte: Trojan-Downloader.Win32.Agent.bdj übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP134\A0050342.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.crd übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054855.dll Infizierte Objekte: Trojan-Downloader.Win32.Small.cyn übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054856.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.crd übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054879.dll Infizierte Objekte: Trojan-Downloader.Win32.Small.cyn übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054880.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.crd übersprungen C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\change.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\PC.ldb Das Objekt ist gesperrt übersprungen C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT02d7b.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\Temp\ZLT02d8c.TMP Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe/run.exe/stream/data0006 Infizierte Objekte: Trojan-Downloader.Win32.Zlob.atu übersprungen D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe/run.exe/stream Infizierte Objekte: Trojan-Downloader.Win32.Zlob.atu übersprungen D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe/run.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.atu übersprungen D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe ZIP: infiziert - 3 übersprungen D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen D:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\change.log Das Objekt ist gesperrt übersprungen Die Untersuchung wurde abgeschlossen. |
|
|
||
22.12.2006, 00:27
Ehrenmitglied
Beiträge: 29434 |
#10
1.
C:\Programme\avenger\backup.zip - loeschen 2. Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) 3. D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4 - loeschen in den Cracks verbergen sich auch immer Trojaner __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.12.2006, 16:24
...neu hier
Themenstarter Beiträge: 9 |
#11
1.
gelöscht 2. gemacht 3. gelöscht jetzt bliebe nur noch die Sache mit der Firewall (obwohl ich sie nicht zwingend brauche, da ich auch ZoneAlarm laufen habe) |
|
|
||
23.12.2006, 00:12
Ehrenmitglied
Beiträge: 29434 |
#12
poste dieses log
http://virus-protect.org/registry_stuff.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.12.2006, 13:38
Ehrenmitglied
Beiträge: 29434 |
#13
http://virus-protect.org/zip/find_Stuff.zip
find_Stuff.bat --> look1.txt --> kopiere den Text ab __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.12.2006, 13:40
...neu hier
Themenstarter Beiträge: 9 |
#14
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 "AntiVirusDisableNotify"=dword:00000000 "FirewallDisableNotify"=dword:00000000 "UpdatesDisableNotify"=dword:00000000 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 |
|
|
||
23.12.2006, 15:02
Ehrenmitglied
Beiträge: 29434 |
#15
gehe in die registry
Start - Ausführen - regedit [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "FirstRunDisabled"=dword:00000001 - in 0 aendern "AntiVirusOverride"=dword:00000001 - in 0 aendern HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile "EnableFirewall"=dword:00000001 - muss auf 1 stehen [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 - muss auf 1 stehen HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile\EnableFirewall = '1' - muss auf 1 stehen __________ Firewall zeigt immer noch inaktiv an und lässt sich über Sicherheitscenter nicht einschalten. Konnte das Problem nicht beseitigt werden, gibt man unter Start - Ausführen Folgendes ein: Zitat rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.infOK. Windows neu starten und in der Eingabeaufforderung folgenden Befehl eingeben: Zitat netsh firewall resetNun sollte die Firewall wieder funktionieren.!! __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich habe mir (so nehme ich zumindestens an) einen Virus eingefangen.
Folgendes sind die Symptome: Der Systemstart ist leicht verzögert und erst nach kurzer Warte und Rechnzeit ist ein Arbeiten möglich. Weiterhin bekomme ich nachdem er fertig ist zu rechnen die Windows Sicherheitswarnung, dass die Windows-Firewall deaktiviert sei (obwohl ich sie aktiviert habe). Will ich sie manuell wieder in Betrieb nehmen kommt folgende Fehlermeldung :
" Auf Grund eines unbekannten Problems konnten die Windows Firewall-Einstellungen nicht angezeigt werden".
Ich bin einigermaßen ratlos zu diesem Problem und bitte deshalb um Hilfe und das folgende sind meine HJT und ComboFix Logs:
Logfile of HijackThis v1.99.1
Scan saved at 23:05, on 06-12-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\svchost.exe
D:\Downloads\HJT\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sportal.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163607402921
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC602B37-7F88-446E-A5B0-5FCD7434B25A}: NameServer = 205.188.146.145
O20 - AppInit_DLLs: C:\WINDOWS\system32\syst8xl.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
__________________________________________________________________________________________________________________________________
Snake - 06-12-19 23:07:20.07 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Downloads"
((((((((((((((((((((((((((((((( Files Created from 2006-11-18 to 2006-12-18 ))))))))))))))))))))))))))))))))))
2006-12-19 16:31 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-12-19 16:31 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2006-12-19 16:31 <DIR> d-------- C:\WINDOWS\Internet Logs
2006-12-19 16:31 <DIR> d-------- C:\Programme\Zone Labs
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-12-19 19:08 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-19 17:00 -------- d-------- C:\Programme\Steam
2006-12-19 16:54 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-16 19:57 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-12-13 18:00 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-13 17:03 -------- d-------- C:\Programme\Windows Media Connect 2
2006-12-11 16:28 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-11 16:13 -------- d-------- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\Adobe
2006-12-10 21:35 -------- d-------- C:\Programme\ArtMoney
2006-12-10 21:29 -------- d-------- C:\Programme\AOL 9.0
2006-12-08 17:00 -------- d-------- C:\Programme\Adobe
2006-12-08 16:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-26 19:40 -------- d---s---- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\Microsoft
2006-11-18 14:01 -------- d-------- C:\Programme\Internet Explorer
2006-11-15 16:06 -------- d-------- C:\Programme\Windows Media Player
2006-11-14 13:40 286720 --a------ C:\WINDOWS\iun506.exe
2006-11-13 18:20 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-11-11 20:35 -------- d-------- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\AOL
2006-11-11 20:34 -------- d-------- C:\Programme\Gemeinsame Dateien\aolshare
2006-11-09 19:35 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-11-09 19:22 -------- d-------- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\InstallShield
2006-11-03 10:02 8282112 --a------ C:\WINDOWS\system32\wmploc.dll
2006-11-03 09:56 99840 --a------ C:\WINDOWS\system32\wmpshell.dll
2006-11-03 09:55 275968 --a------ C:\WINDOWS\system32\wmerror.dll
2006-11-03 09:54 8192 --a------ C:\WINDOWS\system32\asferror.dll
2006-11-02 11:51 43008 --------- C:\WINDOWS\system32\wpdshextres.dll
2006-10-22 21:15 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-21 13:26 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-21 13:26 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-21 13:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-20 19:15 -------- d-------- C:\Programme\ICQLite
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\wdfmgr.exe
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\uwdf.exe
2006-10-18 21:47 991744 --a------ C:\WINDOWS\system32\drmv2clt.dll
2006-10-18 21:47 937984 --a------ C:\WINDOWS\system32\WMNetMgr.dll
2006-10-18 21:47 767488 --------- C:\WINDOWS\system32\WMVSENCD.dll
2006-10-18 21:47 757248 --a------ C:\WINDOWS\system32\WMADMOD.dll
2006-10-18 21:47 656896 --------- C:\WINDOWS\system32\WMVXENCD.dll
2006-10-18 21:47 63488 --a------ C:\WINDOWS\system32\wpdmtpus.dll
2006-10-18 21:47 629760 --a------ C:\WINDOWS\system32\wpd_ci.dll
2006-10-18 21:47 613376 --------- C:\WINDOWS\system32\wmpmde.dll
2006-10-18 21:47 603648 --a------ C:\WINDOWS\system32\WMSPDMOD.dll
2006-10-18 21:47 542720 --a------ C:\WINDOWS\system32\blackbox.dll
2006-10-18 21:47 535040 --------- C:\WINDOWS\system32\wmdrmsdk.dll
2006-10-18 21:47 429056 --a------ C:\WINDOWS\system32\wmdrmdev.dll
2006-10-18 21:47 414208 --a------ C:\WINDOWS\system32\msscp.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\WMVADVE.DLL
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\WMVADVD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wdfapi.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MPG4DMOD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MP4SDMOD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MP43DMOD.dll
2006-10-18 21:47 37376 --a------ C:\WINDOWS\system32\wmdmps.dll
2006-10-18 21:47 35840 --a------ C:\WINDOWS\system32\wpdconns.dll
2006-10-18 21:47 356352 --a------ C:\WINDOWS\system32\wpdsp.dll
2006-10-18 21:47 348672 --a------ C:\WINDOWS\system32\wmdrmnet.dll
2006-10-18 21:47 33792 --a------ C:\WINDOWS\system32\wmdmlog.dll
2006-10-18 21:47 321536 --a------ C:\WINDOWS\system32\mswmdm.dll
2006-10-18 21:47 317440 --------- C:\WINDOWS\system32\MP4SDECD.dll
2006-10-18 21:47 314880 --a------ C:\WINDOWS\system32\wmpdxm.dll
2006-10-18 21:47 295936 --------- C:\WINDOWS\system32\wmpeffects.dll
2006-10-18 21:47 284160 --a------ C:\WINDOWS\system32\PortableDeviceApi.dll
2006-10-18 21:47 276992 --a------ C:\WINDOWS\system32\audiodev.dll
2006-10-18 21:47 27136 --a------ C:\WINDOWS\system32\mspmsnsv.dll
2006-10-18 21:47 2603008 --a------ C:\WINDOWS\system32\WpdShext.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\MPG4DECD.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\MP43DECD.dll
2006-10-18 21:47 2450944 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-10-18 21:47 242688 --a------ C:\WINDOWS\system32\wmpasf.dll
2006-10-18 21:47 229376 --a------ C:\WINDOWS\system32\cewmdm.dll
2006-10-18 21:47 222208 --a------ C:\WINDOWS\system32\WMASF.dll
2006-10-18 21:47 212992 --------- C:\WINDOWS\system32\MFPLAT.dll
2006-10-18 21:47 211456 --a------ C:\WINDOWS\system32\qasf.dll
2006-10-18 21:47 204288 --a------ C:\WINDOWS\system32\wmpsrcwp.dll
2006-10-18 21:47 199168 --------- C:\WINDOWS\system32\PortableDeviceWMDRM.dll
2006-10-18 21:47 179712 --a------ C:\WINDOWS\system32\msnetobj.dll
2006-10-18 21:47 175616 --a------ C:\WINDOWS\system32\mspmsp.dll
2006-10-18 21:47 166912 --a------ C:\WINDOWS\system32\PortableDeviceTypes.dll
2006-10-18 21:47 1661440 --a------ C:\WINDOWS\system32\wmpencen.dll
2006-10-18 21:47 1574912 --------- C:\WINDOWS\system32\WMVENCOD.dll
2006-10-18 21:47 157184 --a------ C:\WINDOWS\system32\wmidx.dll
2006-10-18 21:47 154624 --a------ C:\WINDOWS\system32\wpdmtp.dll
2006-10-18 21:47 1543680 --------- C:\WINDOWS\system32\WMVDECOD.dll
2006-10-18 21:47 1382912 --------- C:\WINDOWS\system32\WMVSDECD.dll
2006-10-18 21:47 133632 --a------ C:\WINDOWS\system32\WPDShServiceObj.dll
2006-10-18 21:47 1329152 --a------ C:\WINDOWS\system32\WMSPDMOE.dll
2006-10-18 21:47 132096 --------- C:\WINDOWS\system32\PortableDeviceWiaCompat.dll
2006-10-18 21:47 130048 --------- C:\WINDOWS\system32\wmpps.dll
2006-10-18 21:47 11264 --a------ C:\WINDOWS\system32\LAPRXY.dll
2006-10-18 21:47 1117696 --a------ C:\WINDOWS\system32\WMADMOE.dll
2006-10-18 21:47 101888 --------- C:\WINDOWS\system32\PortableDeviceClassExtension.dll
2006-10-18 20:03 100864 --a------ C:\WINDOWS\system32\logagent.exe
2006-10-18 20:00 38528 --a------ C:\WINDOWS\system32\drivers\wpdusb.sys
2006-10-18 20:00 249856 --------- C:\WINDOWS\system32\drmupgds.exe
2006-10-18 20:00 17408 --------- C:\WINDOWS\system32\wpdshextautoplay.exe
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-02 15:28 312128 --------- C:\WINDOWS\system32\msdelta.dll
2006-09-28 20:13 95344 --------- C:\WINDOWS\system32\WUDFCoinstaller.dll
2006-09-28 18:56 55808 --------- C:\WINDOWS\system32\WudfSvc.dll
2006-09-28 18:56 316416 --------- C:\WINDOWS\system32\WUDFx.dll
2006-09-28 18:56 165376 --------- C:\WINDOWS\system32\WudfPlatform.dll
2006-09-28 18:56 146432 --------- C:\WINDOWS\system32\WudfHost.exe
2006-09-25 17:58 23856 --a------ C:\WINDOWS\system32\spupdsvc.exe
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e8,00,00,00,00,00,00,00,08,05,00,00,92,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,40,01,00,00,00,00,00,00,00,05,00,00,92,04,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,40,01,00,00,00,00,00,00,00,05,00,00,92,04,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 9.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Tray-Symbol.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0\\aoltray.exe -check"
"item"="AOL 9.0 Tray-Symbol"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Snake^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Snake\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Core"
"hkey"="HKCU"
"command"="C:\\Programme\\Electronic Arts\\EA Downloader\\Core.exe -silent"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="isuspm"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="issch"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nvraidservice"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\nvraidservice.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Omnipage]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="opware32"
"hkey"="HKLM"
"command"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VC8Play"
"hkey"="HKLM"
"command"="C:\\Programme\\Virtual CD v8\\System\\VC8Play.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=dword:00000003
"AOL ACS"=dword:00000002
"Adobe LM Service"=dword:00000003
"VC8SecS"=dword:00000002
"IDriverT"=dword:00000003
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Completion time: 06-12-19 23:08:23.07
C:\ComboFix.txt ... 06-12-19 23:08
C:\ComboFix2.txt ... 06-12-18 21:11