Home » Viren, Trojaner & Malware Forum » Unbekannter Virus » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

Unbekannter Virus

Thema ist geschlossen!

22.12.2006, 21:32

cisco86

Member

Beiträge: 25

#1 Hallo zusammen,

Vielleicht erinnert sich noch jemand an mich. Ich habe hier bereits vor 4 Wochen einen Thread erstellt und habe gerade eben festgestellt, dass ich das selbe Problem immer noch habe.

Mir wurde gesagt dass der Virus vielleicht auf dem Hauptspeicher liegt, da sämtliche Versuche ihn zu entfernen bisher erfolglos waren.

Also noch mal eine Beschreibung:

Wenn AntiVir scannt, finde ich in unregelmäßigen Abständen wieder einen Schadensbefall. Seltsamer ist aber, dass AntiVir sobald der PC mehr als eine Viertelstunde allein gelassen wird, immer nach derselben (Bildschirm geht aus) Zeit Alarm schlägt.

Vielen Dank im Voraus.

22.12.2006, 22:44

joschi

Moderator

Beiträge: 6466

Zitat

dass AntiVir ...Alarm schlägt.

Ja, mit welcher Meldung denn nun ?

Zitat

Ich habe hier bereits vor 4 Wochen einen Thread erstellt

Meinst Du http://board.protecus.de/t26812.htm ? Ein Rechner ohne Patches und Updates am Internet ? Ist nicht gerade das, was man sich unter einem sicheren System vorstellt. Du kannst Dich mit Virenproblemen weiter rumschlagen oder versuchen ansatzweise zu verstehen, das so ein System einfach komplett "löchrig" ist. Da nützt kein Virenscanner auch nur ansatzweise etwas.
__________
Durchsuchen --> Aussuchen --> Untersuchen

23.12.2006, 01:19

Sabina

Ehrenmitglied

Beiträge: 29434

#3 ja, du hast damals diesen Thread erstellt - und ich habe zwar den Ansatz einer reinigung versucht, jedoch dann als sinnlos aufgegeben.
Sag bloss, du hast noch nicht formatiert ???????????????
__________
MfG Sabina

rund um die PC-Sicherheit

23.12.2006, 20:06

cisco86

Member

Themenstarter

Beiträge: 25

#4 Hallo,

Der Thread war gemeint.

@ Sabina

Ich habe formatiert und auch 2 Wochen keine weitere Meldung mehr bekommen. Dazu muss gesagt werden, dass ich eine Partition mit wichtigen Daten (nicht die mit Windows) nicht formatiert habe.

Dann kamen die oben beschriebenen Vorfälle.

@ Joschi

Die Meldungen sind meistens unterschiedlich. Jedoch in der Regel Trojaner (TR\...). Damals (bei Erstbefall) war die Meldung Dropper DR\DelphiGen Rein linguistisch habe ich mir bisher erklärt, dass es wahrscheinlich einen Virus gibt, der die anderen "droppt".

Wie ihr vielleicht merkt, habe ich nicht sonderlich viel Ahnung von der Sicherung des Systems und der Virenentfernung.

Daher würde ich mich auch über ein paar allgemeine Tipps zur Absicherung sehr freuen.

Also für mich sind die Daten sehr wichtig und ich habe einen zweiten PC (relativ neu) auf denen ich diese übertragen will. Natürlich will ich nicht, dass dieser PC ebenfalls von dem Virus befallen wird. Die Dateien sind aber auch sehr wichtig.

Ich hoffe ihr könnt mir da weiterhelfen...

Vielen Dank vorab...
[/b]

23.12.2006, 20:15

Sabina

Ehrenmitglied

Beiträge: 29434

#5 poste noch mal das log vom HijackThis, denn wenn du die Partition von Windows formatiert hast, muesste es wieder o.i. sein.
also: nachsehen
__________
MfG Sabina

rund um die PC-Sicherheit

24.12.2006, 11:08

cisco86

Member

Themenstarter

Beiträge: 25

#6 Hier der LogFile von HiJackThis...

Logfile of HijackThis v1.99.1
Scan saved at 11:06:24, on 24.12.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Transfer\Protect\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [r] C:\WINDOWS\down\rundll32.exe
O4 - HKLM\..\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [wl] C:\WINDOWS\Download\svhost32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Generell habe ich kein Problem damit den PC komplett Platt zu machen (wie du es mir damals geraten hast).

Wichtig ist für mich nur, dass ich die Dateien die auf dem momentan befallenen PC (keine Programme) auf den neuen PC sicher übertragen kann.

Sobald dies geschehen ist, hatte ich sowieso vor den alten PC von Grund neu aufzusetzen.

Meine einzigen wirkliche Sorgen sind, dass der neue PC im Anschluss von dem selben Virus befallen ist oder die Dateien weg sind...

Vielleicht hast du / habt ihr da ja nen Tipp für mich....

Vielen Dank und ein frohes Fest

Dieser Beitrag wurde am 24.12.2006 um 11:32 Uhr von cisco86 editiert.

24.12.2006, 13:19

Sabina

Ehrenmitglied

Beiträge: 29434

#7 cisco86

man kann ja mal versuchen, das zu reinigen - aber plattmachen waere vernuenftiger: - zumal du keine Windowsupdates geladen hast, also wirst du hier DAUERGAST

1.
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\rundl132*.*" > c:\find.txt & start notepad c:\find.txt

dir /s /a "c:\svhost32*.*" > c:\find.txt & start notepad c:\find.txt

-----------------------------------------------------------------------

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

-------------------------------------------------------------------------------

Zitat

O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [r] C:\WINDOWS\down\rundll32.exe
O4 - HKLM\..\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [wl] C:\WINDOWS\Download\svhost32.exe

__________
MfG Sabina

rund um die PC-Sicherheit

25.12.2006, 12:16

cisco86

Member

Themenstarter

Beiträge: 25

#8 Da ich kein Dauergast sein und eure Nerven weiterhin strapazieren will, werde ich deinem Rat folgen und komplett formatieren ;-) (und das System neu mit updates aufziehen)

Wie kann ich denn 100% sicher gehen, dass ich die wichtigen Dateien von dem alten auf den neuen PC übertragen kann, ohne dass dieser befallen wird?

25.12.2006, 13:30

Sabina

Ehrenmitglied

Beiträge: 29434

#9 das beste ist, erst mal zu reinigen, damit du nicht die viren auf den neuen Rechner mit uebernimmst.
Fuehre also aus, was ich oben geschrieben habe
__________
MfG Sabina

rund um die PC-Sicherheit

25.12.2006, 14:42

cisco86

Member

Themenstarter

Beiträge: 25

#10 zu 1: Es kam leider nur diese Meldung. (bei beiden find.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

DatFindbat:

System 32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\system32

25.12.2006 14:30 88.566 nvapps.xml
17.12.2006 21:16 2.256 wpa.dbl
13.12.2006 22:15 8.891 jupdate-1.5.0_09-b03.log
13.12.2006 19:06 552 d3d8caps.dat
27.11.2006 16:32 314.508 perfh009.dat
27.11.2006 16:32 40.836 perfc009.dat
27.11.2006 16:32 49.174 perfc007.dat
27.11.2006 16:32 320.094 perfh007.dat
27.11.2006 16:32 724.842 PerfStringBackup.INI
27.11.2006 16:04 270.984 FNTCACHE.DAT
27.11.2006 15:45 16.832 amcompat.tlb
27.11.2006 15:45 23.392 nscompat.tlb
27.11.2006 15:31 25.065 wmpscheme.xml
27.11.2006 15:28 261 $winnt$.inf
27.11.2006 15:26 2.951 CONFIG.NT
27.11.2006 15:25 488 WindowsLogon.manifest
27.11.2006 15:25 488 logonui.exe.manifest
27.11.2006 15:25 749 wuaucpl.cpl.manifest
27.11.2006 15:25 749 sapi.cpl.manifest
27.11.2006 15:25 749 nwc.cpl.manifest
27.11.2006 15:25 749 cdplayer.exe.manifest
27.11.2006 15:25 749 ncpa.cpl.manifest
27.11.2006 15:23 21.740 emptyregdb.dat
27.11.2006 15:19 0 h323log.txt
22.10.2006 15:06 208.896 NVUNINST.EXE
22.10.2006 12:22 442.368 nvappbar.exe
22.10.2006 12:22 212.992 nvapi.dll
22.10.2006 12:22 35.840 nvcod.dll
22.10.2006 12:22 35.840 nvcodins.dll
22.10.2006 12:22 147.456 nvcolor.exe
22.10.2006 12:22 69.632 nvcpl.cpl
22.10.2006 12:22 7.700.480 nvcpl.dll
22.10.2006 12:22 794.624 nvcplui.exe
22.10.2006 12:22 1.011.712 nvcpluir.dll
22.10.2006 12:22 17.056 nvdisp.nvu
22.10.2006 12:22 5.619.712 nvdisps.dll
22.10.2006 12:22 5.255.168 nvdispsr.dll
22.10.2006 12:22 1.339.392 nvdspsch.exe
22.10.2006 12:22 311.296 nvexpbar.dll
22.10.2006 12:22 3.047.424 nvgames.dll
22.10.2006 12:22 3.203.072 nvgamesr.dll
22.10.2006 12:22 581.632 nvhwvid.dll
22.10.2006 12:22 1.470.464 nview.dll
22.10.2006 12:22 229.376 nvmccs.dll
22.10.2006 12:22 45.056 nvmccsrs.dll
22.10.2006 12:22 188.416 nvmccss.dll
22.10.2006 12:22 1.622.016 nwiz.exe
22.10.2006 12:22 4.527.488 nv4_disp.dll
22.10.2006 12:22 1.732.608 nvwssr.dll
22.10.2006 12:22 458.752 nvmccssr.dll
22.10.2006 12:22 425.984 keystone.exe
22.10.2006 12:22 167.936 nvwrszht.dll
22.10.2006 12:22 163.840 nvwrszhc.dll
22.10.2006 12:22 303.104 nvwrstr.dll
22.10.2006 12:22 294.912 nvwrssv.dll
22.10.2006 12:22 303.104 nvwrssl.dll
22.10.2006 12:22 299.008 nvwrssk.dll
22.10.2006 12:22 315.392 nvwrsru.dll
22.10.2006 12:22 319.488 nvwrsptb.dll
22.10.2006 12:22 323.584 nvwrspt.dll
22.10.2006 12:22 294.912 nvwrspl.dll
22.10.2006 12:22 299.008 nvwrsno.dll
22.10.2006 12:22 319.488 nvwrsnl.dll
22.10.2006 12:22 86.016 nvmctray.dll
22.10.2006 12:22 196.608 nvwrsko.dll
22.10.2006 12:22 212.992 nvwrsja.dll
22.10.2006 12:22 323.584 nvwrsit.dll
22.10.2006 12:22 315.392 nvwrshu.dll
22.10.2006 12:22 278.528 nvwrshe.dll
22.10.2006 12:22 327.680 nvwrsfr.dll
22.10.2006 12:22 303.104 nvwrsfi.dll
22.10.2006 12:22 327.680 nvwrsesm.dll
22.10.2006 12:22 888.832 nvmobls.dll
22.10.2006 12:22 335.872 nvwrses.dll
22.10.2006 12:22 286.720 nvwrseng.dll
22.10.2006 12:22 335.872 nvwrsel.dll
22.10.2006 12:22 311.296 nvwrsde.dll
22.10.2006 12:22 294.912 nvwrsda.dll
22.10.2006 12:22 286.720 nvwrscs.dll
22.10.2006 12:22 282.624 nvwrsar.dll
22.10.2006 12:22 1.019.904 nvwimg.dll
22.10.2006 12:22 1.662.976 nvwdmcpl.dll
22.10.2006 12:22 81.920 nvwddi.dll
22.10.2006 12:22 2.973.696 nvvitvsr.dll
22.10.2006 12:22 2.924.544 nvvitvs.dll
22.10.2006 12:22 1.236.992 nvwss.dll
22.10.2006 12:22 2.859.008 nvmoblsr.dll
22.10.2006 12:22 73.728 nvtuicpl.cpl
22.10.2006 12:22 159.810 nvsvc32.exe
22.10.2006 12:22 466.944 nvshell.dll
22.10.2006 12:22 118.784 nvrszht.dll
22.10.2006 12:22 221.184 nvrszhc.dll
22.10.2006 12:22 249.856 nvrstr.dll
22.10.2006 12:22 208.896 nvudisp.exe
22.10.2006 12:22 249.856 nvrssl.dll
22.10.2006 12:22 249.856 nvrssk.dll
22.10.2006 12:22 262.144 nvrsru.dll
22.10.2006 12:22 262.144 nvrsptb.dll
22.10.2006 12:22 266.240 nvrspt.dll
22.10.2006 12:22 245.760 nvrssv.dll
22.10.2006 12:22 249.856 nvrspl.dll
22.10.2006 12:22 249.856 nvrsno.dll
22.10.2006 12:22 266.240 nvrsnl.dll
22.10.2006 12:22 286.720 nvnt4cpl.dll
22.10.2006 12:22 258.048 nvrsko.dll
22.10.2006 12:22 262.144 nvrsja.dll
22.10.2006 12:22 274.432 nvrsit.dll
22.10.2006 12:22 253.952 nvrshu.dll
22.10.2006 12:22 323.584 nvrshe.dll
22.10.2006 12:22 278.528 nvrsfr.dll
22.10.2006 12:22 241.664 nvrsfi.dll
22.10.2006 12:22 266.240 nvrsesm.dll
22.10.2006 12:22 274.432 nvrses.dll
22.10.2006 12:22 241.664 nvrseng.dll
22.10.2006 12:22 274.432 nvrsel.dll
22.10.2006 12:22 270.336 nvrsde.dll
22.10.2006 12:22 245.760 nvrsda.dll
22.10.2006 12:22 241.664 nvrscs.dll
22.10.2006 12:22 323.584 nvrsar.dll
22.10.2006 12:22 5.644.288 nvoglnt.dll
12.10.2006 03:10 127.078 javaws.exe
12.10.2006 03:10 49.265 jpicpl32.cpl
12.10.2006 01:35 53.346 javaw.exe
12.10.2006 01:35 49.248 java.exe
07.10.2006 05:18 185.952 rmoc3260.dll
07.09.2006 12:54 57.384 avsda.dll
25.08.2006 04:47 39.672 vxblock.dll
25.08.2006 04:47 379.640 pxwave.dll
25.08.2006 04:47 1.309.432 pxsfs.dll
25.08.2006 04:47 183.032 pxmas.dll
25.08.2006 04:47 514.808 px.dll
25.08.2006 04:47 129.784 pxafs.dll
25.08.2006 04:47 63.144 pxcpya64.exe
25.08.2006 04:47 477.944 pxdrv.dll
25.08.2006 04:47 115.880 pxinsi64.exe
25.08.2006 04:47 67.240 pxhpinst.exe
25.08.2006 04:47 62.632 pxinsa64.exe

Systemtemp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

25.12.2006 14:35 5.663 jusched.log
25.12.2006 14:08 695 TWAIN.LOG
25.12.2006 14:08 3 Twain001.Mtx
25.12.2006 14:08 156 Twunk001.MTX
25.12.2006 00:49 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}15153.html
25.12.2006 00:48 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}10403.html
25.12.2006 00:47 16.384 ~DFDA9F.tmp
25.12.2006 00:47 16.384 ~DFD06F.tmp
24.12.2006 16:25 0 step1 (2).jpg
24.12.2006 14:17 1.020 ~ROMFN_00000790
24.12.2006 13:43 288.694.272 ~PST1868.tmp
23.12.2006 21:51 334.442.496 ~PST1402.tmp
22.12.2006 22:57 5.191 FRONTPG.log
22.12.2006 22:02 0 $$a4.tmp
22.12.2006 18:12 2.872 java_install_reg.log
21.12.2006 19:21 16.384 ~DF3EA3.tmp
21.12.2006 19:21 16.384 ~DF32D7.tmp
19.12.2006 22:55 32.768 ~DFEC77.tmp
19.12.2006 17:05 676 wecerr.txt
18.12.2006 12:46 16.384 ~WRF0004.tmp
18.12.2006 00:12 66.748.416 ~WRS4027.tmp
18.12.2006 00:10 16.384 ~WRF0003.tmp
18.12.2006 00:10 71.540.224 ~WRS2276.tmp
17.12.2006 23:56 16.384 ~WRF0002.tmp
17.12.2006 22:08 8.686 Microsoft Office FrontPage 2003 Setup(0002).txt
17.12.2006 22:08 9.360.756 Microsoft Office FrontPage 2003 Setup(0002)_Task(0001).txt
17.12.2006 22:01 1.023 Setup Log File.Log
17.12.2006 21:54 49.659 offcln11.log
17.12.2006 21:49 10.159 Microsoft Office FrontPage 2003 Setup(0001).txt
17.12.2006 21:49 389.812 Microsoft Office FrontPage 2003 Setup(0001)_Task(0001).txt
17.12.2006 21:49 77 dw.log
17.12.2006 21:49 1.682 DW55.tmp
17.12.2006 21:39 3.182 Microsoft Office 2003 Setup(0003).txt
17.12.2006 21:39 124.094 Microsoft Office 2003 Setup(0003)_Task(0001).txt
17.12.2006 21:38 1.431 Microsoft Office 2003 Setup(0002).txt
17.12.2006 21:18 16.384 ~DF91CE.tmp
17.12.2006 21:18 16.384 ~DF8933.tmp
14.12.2006 00:41 1.020 ~ROMFN_00000320
13.12.2006 22:45 1.994 triEEJAB.htm
13.12.2006 22:45 43.355 triGOIAB.htm
13.12.2006 22:45 2.044 triMOEDD.htm
13.12.2006 22:45 2.010 triFBJAB.htm
13.12.2006 22:45 1.492 triEDJAB.htm
13.12.2006 22:45 1.488 triFAJAB.htm
13.12.2006 22:32 1.353 jupdate1.5.0.xml
13.12.2006 22:21 1.071.040 gtb19.tmp.cab
13.12.2006 22:19 0 gtb19.tmp
13.12.2006 22:15 23.568 java_install.log
13.12.2006 22:07 16.384 ~DF8A37.tmp
13.12.2006 22:07 16.384 ~DF8A1E.tmp
13.12.2006 22:07 16.384 ~DF8A05.tmp
13.12.2006 22:07 16.384 ~DF89EC.tmp
13.12.2006 21:47 1.151 jinstall.cfg
13.12.2006 19:06 0 $$a8.tmp
13.12.2006 19:05 0 $$a7.tmp
13.12.2006 19:02 0 $$a6.tmp
13.12.2006 19:02 0 $$a5.tmp
13.12.2006 17:05 16.384 ~DF84F8.tmp
13.12.2006 17:05 16.384 ~DF8083.tmp
12.12.2006 21:45 16.384 ~DFD9C9.tmp
12.12.2006 21:45 16.384 ~DFD9B0.tmp
12.12.2006 21:45 16.384 ~DFD997.tmp
12.12.2006 21:45 16.384 ~DFD97D.tmp
12.12.2006 21:39 16.384 ~DF7142.tmp
12.12.2006 21:39 16.384 ~DF7129.tmp
12.12.2006 21:39 16.384 ~DF7110.tmp
12.12.2006 21:39 16.384 ~DF70F7.tmp
12.12.2006 21:28 16.384 ~DF1BCF.tmp
12.12.2006 21:28 16.384 ~DF1BB6.tmp
12.12.2006 21:28 16.384 ~DF1B9D.tmp
12.12.2006 21:28 16.384 ~DF1B82.tmp
12.12.2006 21:28 16.384 ~DFE90F.tmp
12.12.2006 21:28 16.384 ~DFE497.tmp
12.12.2006 19:25 1.992 triIJEFF.htm
12.12.2006 19:25 43.244 triJGEFF.htm
12.12.2006 19:25 3.522 triJHEFF.htm
12.12.2006 19:25 1.492 triJIEFF.htm
12.12.2006 19:25 2.042 triAGOOA.htm
12.12.2006 19:25 1.488 triAIJLI.htm
12.12.2006 12:04 16.384 ~DFDDB6.tmp
12.12.2006 12:04 16.384 ~DFD93D.tmp
10.12.2006 18:45 283 wahtmltmp00.htm
10.12.2006 16:50 2.520 triNJECI.htm
10.12.2006 13:59 12.936 control.xml
10.12.2006 13:47 16.384 ~DF3224.tmp
10.12.2006 13:47 16.384 ~DF1A09.tmp
10.12.2006 10:58 16.384 ~DF67FA.tmp
10.12.2006 10:58 16.384 ~DF6322.tmp
01.12.2006 17:12 16.384 ~DFAD12.tmp
01.12.2006 17:12 16.384 ~DFA6AF.tmp
01.12.2006 13:01 16.384 ~DF3704.tmp
01.12.2006 13:01 16.384 ~DF32D0.tmp
01.12.2006 09:11 23.112 ~WRS0004.tmp
01.12.2006 09:10 512 ~DF62D6.tmp
01.12.2006 09:01 16.384 ~WRF0001.tmp
01.12.2006 09:00 512 ~DF6339.tmp
01.12.2006 08:59 16.384 ~DF1EA2.tmp
01.12.2006 08:59 512 ~DF17D8.tmp
01.12.2006 08:59 16.384 ~DF17CD.tmp
30.11.2006 18:59 16.384 ~DF526E.tmp
30.11.2006 18:59 16.384 ~DF4281.tmp
30.11.2006 17:20 512 ~DFF223.tmp
30.11.2006 17:18 16.384 Perflib_Perfdata_1f8.dat
30.11.2006 17:04 512 ~DF741A.tmp
30.11.2006 16:57 1.536 ~WRS0001.tmp
30.11.2006 16:54 16.384 ~WRF0000.tmp
30.11.2006 16:54 512 ~DFACF3.tmp
30.11.2006 16:54 512 ~DF99A0.tmp
30.11.2006 16:45 0 $$a11.tmp
30.11.2006 16:08 1.020 ~ROMFN_00000F38
30.11.2006 15:20 57.326 Microsoft Office Professional Edition 2003_repair_log(0001).txt
30.11.2006 12:25 16.384 ~DFA056.tmp
30.11.2006 12:25 512 ~DF9C57.tmp
30.11.2006 12:25 16.384 ~DF9C4C.tmp
29.11.2006 21:38 16.384 ~DF94E5.tmp
29.11.2006 21:38 16.384 ~DF94CC.tmp
29.11.2006 21:38 16.384 ~DF94B3.tmp
29.11.2006 21:38 16.384 ~DF949A.tmp
29.11.2006 21:35 16.384 ~DF4589.tmp
29.11.2006 21:35 16.384 ~DF40FE.tmp
28.11.2006 17:04 0 Twunk002.MTX
27.11.2006 21:55 0 $$a3.tmp
27.11.2006 21:32 5.248 plf10.tmp
27.11.2006 21:05 4.533 plf3.tmp
27.11.2006 21:04 182.324 Exit.wav
27.11.2006 21:04 367.544 Open.wav
27.11.2006 21:04 5.924 Click.wav
27.11.2006 21:04 1.048 Pal-acer.pal
27.11.2006 21:04 124.764 Www_shine.wav
27.11.2006 21:04 1.048 Pal.pal
27.11.2006 21:04 22.094 Shine.wav
27.11.2006 17:33 0 WER4.tmp
27.11.2006 17:30 0 WER3.tmp
27.11.2006 17:22 1.020 ~ROMFN_00000370
27.11.2006 17:15 4.533 plf1.tmp
27.11.2006 17:05 16.384 ~DF22F9.tmp
27.11.2006 17:05 16.384 ~DFF6B2.tmp
27.11.2006 16:43 16.384 ~DF40F9.tmp
27.11.2006 16:43 16.384 ~DF2CCE.tmp
27.11.2006 16:19 0 $$aE.tmp
27.11.2006 16:10 4.533 plfA.tmp
27.11.2006 16:10 517 $$a9.bat
27.11.2006 16:10 0 $$a9.tmp
27.11.2006 16:08 0 $$a2.tmp
27.11.2006 16:04 0 $$a1.tmp
27.11.2006 16:01 3.021 Microsoft Office 2003 Setup(0001).txt
27.11.2006 16:01 383.966 Microsoft Office 2003 Setup(0001)_Task(0001).txt
27.11.2006 15:56 0 $$a184.tmp
27.11.2006 15:45 0 $$aE6.tmp
27.11.2006 15:42 0 $$a7E.tmp
27.11.2006 15:41 0 $$a7D.tmp
27.11.2006 15:41 0 $$a7C.tmp
27.11.2006 15:38 0 $$a79.tmp
27.11.2006 15:38 0 $$a78.tmp
27.11.2006 15:34 0 $$a77.tmp
27.11.2006 15:33 0 $$a53.tmp
12.10.2006 04:09 650.920 gtb2k1031.exe

Windows.txt

25.12.2006 14:29 0 0.log
25.12.2006 14:29 2.048 bootstat.dat
25.12.2006 14:28 23.088 SchedLgU.Txt
25.12.2006 14:28 50 wiaservc.log
25.12.2006 14:28 601 wiadebug.log
25.12.2006 11:58 32 HCWBTDLG.INI
25.12.2006 10:48 463 HCWPNP.INI
24.12.2006 13:30 1.563 IE4 Error Log.txt
24.12.2006 11:06 1.018.114 setupapi.log
22.12.2006 23:14 701.251 setuplog.txt
22.12.2006 22:19 26.002 Windows Update.log
22.12.2006 20:25 345.312 ntbtlog.txt
17.12.2006 22:05 400 ODBC.INI
10.12.2006 13:59 43.147 wmsetup.log
01.12.2006 08:57 374 nsw.log
30.11.2006 21:20 175.942 EPSTPLOG.TXT
30.11.2006 21:20 93 EPSMTL32.TXT
30.11.2006 21:20 32 CDE R240R245EU.ini
30.11.2006 21:17 6.608 epsswt_log.txt
30.11.2006 18:05 148.456 EPSTPLOG.BAK
28.11.2006 21:56 272 _delis32.ini
27.11.2006 15:58 599 win.ini
27.11.2006 15:46 240 wmsetup10.log
27.11.2006 15:45 316.640 WMSysPr9.prx
27.11.2006 15:45 299.552 WMSysPrx.prx
27.11.2006 15:31 820 OEWABLog.txt
27.11.2006 15:30 8.192 REGLOCS.OLD
27.11.2006 15:29 7.741 ntdtcsetup.log
27.11.2006 15:29 15.711 comsetup.log
27.11.2006 15:29 699 iis6.log
27.11.2006 15:29 8.315 tsoc.log
27.11.2006 15:29 4.438 imsins.log
27.11.2006 15:29 169.388 setupact.log
27.11.2006 15:26 0 control.ini
27.11.2006 15:26 4.161 ODBCINST.INI
27.11.2006 15:25 749 WindowsShell.Manifest
27.11.2006 15:23 821 msgsocm.log
27.11.2006 15:23 12.817 ocgen.log
27.11.2006 15:23 1.065 ocmsn.log
27.11.2006 15:23 11.537 FaxSetup.log
27.11.2006 15:23 36 vb.ini
27.11.2006 15:23 37 vbaddin.ini
27.11.2006 15:23 128 DtcInstall.log
27.11.2006 15:23 1.060 sessmgr.setup.log
27.11.2006 15:08 0 Sti_Trace.log
27.11.2006 15:06 1.348 regopt.log
27.11.2006 15:06 231 system.ini
27.11.2006 15:05 0 setuperr.log

Tmp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\Temp

01.12.2006 17:23 0 Upd2.tmp
27.11.2006 15:41 0 $$a7B.tmp

down

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.11.2006 15:25 65 desktop.ini
09.11.2006 14:36 5.019 swflash.inf

sys

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\

25.12.2006 14:41 0 sys.txt
25.12.2006 14:39 494 down.txt
25.12.2006 14:39 422 tmp.txt
25.12.2006 14:38 4.343 system.txt
25.12.2006 14:37 8.981 systemtemp.txt
25.12.2006 14:34 92.019 system32.txt
25.12.2006 14:34 1.074 c.txt
25.12.2006 14:29 805.306.368 pagefile.sys
25.12.2006 14:25 79 find.txt
22.12.2006 22:17 1.318 DDCheck.txt
27.11.2006 15:33 10 _desktop.ini
27.11.2006 15:26 0 MSDOS.SYS
27.11.2006 15:26 0 IO.SYS
27.11.2006 15:26 0 CONFIG.SYS
27.11.2006 15:26 0 AUTOEXEC.BAT
27.11.2006 15:19 287 boot.ini

So ich hoffe das war alles ...

25.12.2006, 15:02

Sabina

Ehrenmitglied

Beiträge: 29434

#11 nochmal:

Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\rundll32*.*" > c:\find.txt & start notepad c:\find.txt

kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\svhost32*.*" > c:\find.txt & start notepad c:\find.txt

kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\gtb2k1031*.*" > c:\find.txt & start notepad c:\find.txt

kopiere rein und poste alles, was im Texteditor erscheint

dir /s /a "c:\rundl132*.*" > c:\find.txt & start notepad c:\find.txt
__________
MfG Sabina

rund um die PC-Sicherheit

25.12.2006, 15:08

Sabina

Ehrenmitglied

Beiträge: 29434

#12 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\uninstall" >>files.txt
dir "C:\WINDOWS\down" >>files.txt
dir "C:\WINDOWS\Intel" >>files.txt
dir "C:\Program Files\Microsoft" >>files.txt
dir "C:\WINDOWS\Download" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Windows" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

25.12.2006, 18:35

cisco86

Member

Themenstarter

Beiträge: 25

#13 zu rundll32:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\WER3.tmp.dir00

27.11.2006 17:30 16.958 rundll32.exe.mdmp
1 Datei(en) 16.958 Bytes

Verzeichnis von c:\WINDOWS\Prefetch

24.12.2006 22:49 27.882 RUNDLL32.EXE-1386DE3D.pf
20.12.2006 19:50 13.164 RUNDLL32.EXE-1403EB38.pf
24.12.2006 15:41 15.542 RUNDLL32.EXE-15E942E0.pf
24.12.2006 22:48 59.134 RUNDLL32.EXE-19C7EB9B.pf
20.12.2006 19:50 28.568 RUNDLL32.EXE-1C320F03.pf
24.12.2006 16:18 11.896 RUNDLL32.EXE-1E219C16.pf
20.12.2006 19:51 12.678 RUNDLL32.EXE-1E7F2874.pf
22.12.2006 21:07 26.976 RUNDLL32.EXE-2324820E.pf
23.12.2006 01:17 11.226 RUNDLL32.EXE-260D9B8B.pf
22.12.2006 18:12 7.852 RUNDLL32.EXE-268BFF96.pf
23.12.2006 01:17 21.494 RUNDLL32.EXE-26DA8C9B.pf
25.12.2006 11:58 13.556 RUNDLL32.EXE-2A94BB85.pf
01.12.2006 09:42 12.152 RUNDLL32.EXE-31610E45.pf
21.12.2006 06:53 17.566 RUNDLL32.EXE-32240B45.pf
24.12.2006 00:40 12.274 RUNDLL32.EXE-3CA84483.pf
21.12.2006 19:28 44.446 RUNDLL32.EXE-3DFA1720.pf
22.12.2006 22:17 30.048 RUNDLL32.EXE-42C4EDF2.pf
17.12.2006 23:00 7.216 RUNDLL32.EXE-451FC2C0.pf
23.12.2006 00:20 10.338 RUNDLL32.EXE-46215CAC.pf
24.12.2006 00:40 14.468 RUNDLL32.EXE-48D6C6FA.pf
24.12.2006 15:41 19.954 RUNDLL32.EXE-490DE23F.pf
25.12.2006 14:08 8.844 RUNDLL32.EXE-4A46EB47.pf
22 Datei(en) 427.274 Bytes

Verzeichnis von c:\WINDOWS\system32

18.08.2001 13:00 32.256 rundll32.exe
1 Datei(en) 32.256 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

18.08.2001 13:00 32.256 rundll32.exe
1 Datei(en) 32.256 Bytes

Anzahl der angezeigten Dateien:
25 Datei(en) 508.744 Bytes
0 Verzeichnis(se), 4.843.073.536 Bytes frei

zu svhost

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

gtb2k1031

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp

12.10.2006 04:09 650.920 gtb2k1031.exe
1 Datei(en) 650.920 Bytes

Anzahl der angezeigten Dateien:
1 Datei(en) 650.920 Bytes
0 Verzeichnis(se), 4.843.073.536 Bytes frei

rundl132

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Zu listen.bat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\uninstall

22.12.2006 22:02 <DIR> .
22.12.2006 22:02 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.069.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\down

27.11.2006 17:41 <DIR> .
27.11.2006 17:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.069.440 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\Intel

27.11.2006 16:07 <DIR> .
27.11.2006 16:07 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.065.344 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\Program Files

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\WINDOWS\Download

27.11.2006 17:41 <DIR> .
27.11.2006 17:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 4.843.065.344 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\Program Files

27.11.2006 16:42 <DIR> .
27.11.2006 16:42 <DIR> ..
27.11.2006 16:42 <DIR> ICQLite
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 4.843.065.344 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 1CF4-14B7

Verzeichnis von C:\Windows

27.11.2006 16:01 <DIR> addins
27.11.2006 16:04 <DIR> AppPatch
30.11.2006 21:20 32 CDE R240R245EU.ini
25.12.2006 18:24 <DIR> Debug
27.11.2006 17:41 <DIR> down
27.11.2006 17:41 <DIR> Download
27.11.2006 16:01 <DIR> Driver Cache
27.11.2006 15:23 128 DtcInstall.log
27.11.2006 21:36 <DIR> Help
24.12.2006 13:30 1.563 IE4 Error Log.txt
27.11.2006 15:29 699 iis6.log
27.11.2006 15:26 <DIR> ime
27.11.2006 15:29 4.438 imsins.log
27.11.2006 16:07 <DIR> Intel
01.12.2006 08:57 374 nsw.log
24.12.2006 11:06 1.018.114 setupapi.log
22.12.2006 22:30 <DIR> system32
25.12.2006 18:24 <DIR> Temp
22.12.2006 22:02 <DIR> uninstall

Nochmal besten Dank, dass du deinen Weihnachtstag für Leute wie mich opferst. Frohe Weihnachten!!

[/b]

25.12.2006, 20:42

Sabina

Ehrenmitglied

Beiträge: 29434

#14 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

svhost32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

gleiches mit :

rundll32.exe

rundl132
__________
MfG Sabina

rund um die PC-Sicherheit

25.12.2006, 22:42

cisco86

Member

Themenstarter

Beiträge: 25

#15 SvHost32

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 25.12.2006 22:31:00 for strings:
; 'svhost32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms"="C:\\Program Files\\Microsoft\\svhost32.exe"
"wl"="C:\\WINDOWS\\Download\\svhost32.exe"

; End Of The Log...

rundll32

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 25.12.2006 22:34:32 for strings:
; 'rundll32.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\ShellNew]
; Contents of value:
; %systemroot%\system32\rundll32.exe %systemroot%\system32\syncui.dll,briefcase_create %2!d! %1
"Command"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,73,79,73,74,65,6d,33,32,5c,73,79,6e,63,75,69,2e,64,6c,6c,2c,42,72,\
69,65,66,63,61,73,65,5f,43,72,65,61,74,65,20,25,32,21,64,21,20,25,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\shimgvw.dll\shell\open\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\shimgvw.dll,imageview_fullscreen %1
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,73,68,69,6d,67,76,77,2e,64,6c,6c,2c,49,\
6d,61,67,65,56,69,65,77,5f,46,75,6c,6c,73,63,72,65,65,6e,20,25,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\shimgvw.dll\shell\print\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\shimgvw.dll,imageview_fullscreen %1
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,73,68,69,6d,67,76,77,2e,64,6c,6c,2c,49,\
6d,61,67,65,56,69,65,77,5f,46,75,6c,6c,73,63,72,65,65,6e,20,25,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\callto\shell\open\command]
@="rundll32.exe msconf.dll,CallToProtocolHandler %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CATFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenCAT %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CERFile\shell\add\command]
@="rundll32.exe cryptext.dll,CryptExtAddCER %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CERFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenCER %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CertificateStoreFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenSTR %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00E7B358-F65B-4dcf-83DF-CD026B94BFD4}\LocalServer32]
; Contents of value:
; rundll32.exe %systemroot%\system32\shimgvw.dll,imageview_comserver {00e7b358-f65b-4dcf-83df-cd026b94bfd4}
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,73,68,69,6d,67,76,77,2e,64,6c,6c,2c,49,\
6d,61,67,65,56,69,65,77,5f,43,4f,4d,53,65,72,76,65,72,20,7b,30,30,45,37,42,\
33,35,38,2d,46,36,35,42,2d,34,64,63,66,2d,38,33,44,46,2d,43,44,30,32,36,42,\
39,34,42,46,44,34,7d,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0DF44EAA-FF21-4412-828E-260A8728E7F1}\Shell\Open\Command]
; Contents of value:
; rundll32.exe shell32.dll,options_rundll 1
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,73,68,65,6c,6c,33,32,2e,64,6c,\
6c,2c,4f,70,74,69,6f,6e,73,5f,52,75,6e,44,4c,4c,20,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb}\LocalServer32]
; Contents of value:
; rundll32.exe shell32.dll,shcreatelocalserverrundll {601ac3dc-786a-4eb0-bf40-ee3521e70bfb}
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,73,68,65,6c,6c,33,32,2e,64,6c,\
6c,2c,53,48,43,72,65,61,74,65,4c,6f,63,61,6c,53,65,72,76,65,72,52,75,6e,44,\
6c,6c,20,7b,36,30,31,61,63,33,64,63,2d,37,38,36,61,2d,34,65,62,30,2d,62,66,\
34,30,2d,65,65,33,35,32,31,65,37,30,62,66,62,7d,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}\Shell\Open\Command]
; Contents of value:
; rundll32.exe shell32.dll,options_rundll 0
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,73,68,65,6c,6c,33,32,2e,64,6c,\
6c,2c,4f,70,74,69,6f,6e,73,5f,52,75,6e,44,4c,4c,20,30,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF}\Shell\RunAs\Command]
; Contents of value:
; rundll32.exe shell32.dll,options_rundll 0
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,73,68,65,6c,6c,33,32,2e,64,6c,\
6c,2c,4f,70,74,69,6f,6e,73,5f,52,75,6e,44,4c,4c,20,30,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{783C030F-E948-487D-B35D-94FCF0F0C172}\LocalServer32]
@="rundll32.exe C:\\WINDOWS\\System32\\hotplug.dll,CreateLocalServer {783C030F-E948-487D-B35D-94FCF0F0C172}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7A9D77BD-5403-11d2-8785-2E0420524153}\Shell\Open\Command]
; Contents of value:
; rundll32.exe %systemroot%\system32\netplwiz.dll,usersrundll
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,6e,65,74,70,6c,77,69,7a,2e,64,6c,6c,2c,\
55,73,65,72,73,52,75,6e,44,6c,6c,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{995C996E-D918-4a8c-A302-45719A6F4EA7}\LocalServer32]
@="rundll32.exe shell32.dll,SHCreateLocalServerRunDll {995C996E-D918-4a8c-A302-45719A6F4EA7}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}\LocalServer32]
@="rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CompressedFolder\Shell\Open\Command]
@="rundll32.exe zipfldr.dll,RouteTheCall %L"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ConferenceLink\shell\open\command]
@="rundll32.exe msconf.dll,OpenConfLink %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command]
@="rundll32.exe shell32.dll,Control_RunDLL %1,%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\runas\command]
@="rundll32.exe shell32.dll,Control_RunDLLAsUser %1,%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CRLFile\shell\add\command]
@="rundll32.exe cryptext.dll,CryptExtAddCRL %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CRLFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenCRL %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command]
; Contents of value:
; %systemroot%\system32\rundll32.exe netshell.dll,invokedunfile %1
@=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,52,\
55,4e,44,4c,4c,33,32,2e,45,58,45,20,4e,45,54,53,48,45,4c,4c,2e,44,4c,4c,2c,\
49,6e,76,6f,6b,65,44,75,6e,46,69,6c,65,20,25,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\emffile\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\emffile\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\giffile\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\giffile\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\h323file\shell\open\command]
@="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\printto\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\mshtml.dll,printhtml "%1" "%2" "%3" "%4"
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,6d,73,68,74,6d,6c,2e,64,6c,6c,2c,50,72,\
69,6e,74,48,54,4d,4c,20,22,25,31,22,20,22,25,32,22,20,22,25,33,22,20,22,25,\
34,22,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\iiifile\shell\open\command]
@="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command]
; Contents of value:
; %systemroot%\system32\rundll32.exe setupapi,installhinfsection defaultinstall 132 %1
@=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,32,5c,72,\
75,6e,64,6c,6c,33,32,2e,65,78,65,20,73,65,74,75,70,61,70,69,2c,49,6e,73,74,\
61,6c,6c,48,69,6e,66,53,65,63,74,69,6f,6e,20,44,65,66,61,75,6c,74,49,6e,73,\
74,61,6c,6c,20,31,33,32,20,25,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\open\command]
@="rundll32.exe shdocvw.dll,OpenURL %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\print\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\mshtml.dll,printhtml "%1"
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,6d,73,68,74,6d,6c,2e,64,6c,6c,2c,50,72,\
69,6e,74,48,54,4d,4c,20,22,25,31,22,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut\shell\printto\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\mshtml.dll,printhtml "%1" "%2" "%3" "%4"
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,6d,73,68,74,6d,6c,2e,64,6c,6c,2c,50,72,\
69,6e,74,48,54,4d,4c,20,22,25,31,22,20,22,25,32,22,20,22,25,33,22,20,22,25,\
34,22,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IVFfile\shell\close\command]
@="RunDll32.exe C:\\WINDOWS\\System32\\msdxm.ocx,RunDll /play %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSDASC\shell\open\command]
@="Rundll32.exe C:\\PROGRA~1\\GEMEIN~1\\System\\OLEDB~1\\oledb32.dll,OpenDSLFile %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\msstylesfile\shell\open\command]
; Contents of value:
; %systemroot%\system32\rundll32.exe %systemroot%\system32\shell32.dll,control_rundll %systemroot%\system32\desk.cpl desk,@appearance /action:openmstheme /file:"%1"
@=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,72,\
75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,\
73,79,73,74,65,6d,33,32,5c,73,68,65,6c,6c,33,32,2e,64,6c,6c,2c,43,6f,6e,74,\
72,6f,6c,5f,52,75,6e,44,4c,4c,20,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,\
79,73,74,65,6d,33,32,5c,64,65,73,6b,2e,63,70,6c,20,64,65,73,6b,2c,40,41,70,\
70,65,61,72,61,6e,63,65,20,2f,41,63,74,69,6f,6e,3a,4f,70,65,6e,4d,53,54,68,\
65,6d,65,20,2f,66,69,6c,65,3a,22,25,31,22,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\nView.Profile\shell\open\command]
@="rundll32.exe nview.dll,nViewCmd loadprofile shell \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\P7RFile\shell\add\command]
@="rundll32.exe cryptext.dll,CryptExtAddP7R %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\P7RFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenP7R %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\P7SFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenPKCS7 %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Paint.Picture\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Paint.Picture\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PFXFile\shell\add\command]
@="rundll32.exe cryptext.dll,CryptExtAddPFX %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pjpegfile\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pjpegfile\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pngfile\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\pngfile\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ratfile\Shell\Open\Command]
@="rundll32.exe msrating.dll,ClickedOnRAT %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\rlogin\shell\open\command]
@="rundll32.exe url.dll,TelnetProtocolHandler %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command]
@="rundll32.exe desk.cpl,InstallScreenSaver %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command]
@="\"C:\\WINDOWS\\System32\\RUNDLL32.EXE\" C:\\WINDOWS\\System32\\scrobj.dll,GenerateTypeLib \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SPCFile\shell\add\command]
@="rundll32.exe cryptext.dll,CryptExtAddSPC %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SPCFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenPKCS7 %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\STLFile\shell\add\command]
@="rundll32.exe cryptext.dll,CryptExtAddCTL %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\STLFile\shell\open\command]
@="rundll32.exe cryptext.dll,CryptExtOpenCTL %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SystemFileAssociations\image\shell\print\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\shimgvw.dll,imageview_fullscreen %1
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,73,68,69,6d,67,76,77,2e,64,6c,6c,2c,49,\
6d,61,67,65,56,69,65,77,5f,46,75,6c,6c,73,63,72,65,65,6e,20,25,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command]
@="rundll32.exe url.dll,TelnetProtocolHandler %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\themefile\shell\open\command]
; Contents of value:
; %systemroot%\system32\rundll32.exe %systemroot%\system32\shell32.dll,control_rundll %systemroot%\system32\desk.cpl desk,@themes /action:opentheme /file:"%1"
@=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,72,\
75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,\
73,79,73,74,65,6d,33,32,5c,73,68,65,6c,6c,33,32,2e,64,6c,6c,2c,43,6f,6e,74,\
72,6f,6c,5f,52,75,6e,44,4c,4c,20,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,\
79,73,74,65,6d,33,32,5c,64,65,73,6b,2e,63,70,6c,20,64,65,73,6b,2c,40,54,68,\
65,6d,65,73,20,2f,41,63,74,69,6f,6e,3a,4f,70,65,6e,54,68,65,6d,65,20,2f,66,\
69,6c,65,3a,22,25,31,22,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TIFImage.Document\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TIFImage.Document\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\tn3270\shell\open\command]
@="rundll32.exe url.dll,TelnetProtocolHandler %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ulsfile\shell\open\command]
@="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command]
; Contents of value:
; %systemroot%\system32\rundll32.exe %systemroot%\system32\shell32.dll,openas_rundll %1
@=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,72,\
75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,\
73,79,73,74,65,6d,33,32,5c,73,68,65,6c,6c,33,32,2e,64,6c,6c,2c,4f,70,65,6e,\
41,73,5f,52,75,6e,44,4c,4c,20,25,31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wmffile\shell\open\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_Fullscreen %1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wmffile\shell\printto\command]
@="rundll32.exe C:\\WINDOWS\\System32\\shimgvw.dll,ImageView_PrintTo /pt \"%1\" \"%2\" \"%3\" \"%4\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Internet Call\Microsoft NetMeeting\Protocols\callto\shell\open\command]
@="rundll32.exe msconf.dll,CallToProtocolHandler %l"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\Hotmail\Protocols\mailto\shell\open\command]
; Contents of value:
; rundll32.exe "%programfiles%\intern~1\hmmapi.dll",mailtoprotocolhandler %1
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,22,25,50,72,6f,67,72,61,6d,46,\
69,6c,65,73,25,5c,49,4e,54,45,52,4e,7e,31,5c,68,6d,6d,61,70,69,2e,64,6c,6c,\
22,2c,4d,61,69,6c,54,6f,50,72,6f,74,6f,63,6f,6c,48,61,6e,64,6c,65,72,20,25,\
31,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\Hotmail\shell\open\command]
; Contents of value:
; rundll32.exe "%programfiles%\intern~1\hmmapi.dll",openinboxhandler
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,22,25,50,72,6f,67,72,61,6d,46,\
69,6c,65,73,25,5c,49,4e,54,45,52,4e,7e,31,5c,68,6d,6d,61,70,69,2e,64,6c,6c,\
22,2c,4f,70,65,6e,49,6e,62,6f,78,48,61,6e,64,6c,65,72,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\Microsoft Outlook\shell\Properties\command]
@="rundll32.exe shell32.dll,Control_RunDLL \"C:\\PROGRA~1\\GEMEIN~1\\SYSTEM\\MSMAPI\\1031\\MLCFG32.CPL\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
"StubPath"="rundll32.exe advpack.dll,LaunchINFSection C:\\WINDOWS\\INF\\msnetmtg.inf,NetMtg.Install.PerUser.NT"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
"StubPath"="rundll32.exe advpack.dll,LaunchINFSection C:\\WINDOWS\\INF\\msmsgs.inf,BLC.Install.PerUser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
"StubPath"="rundll32.exe advpack.dll,LaunchINFSection C:\\WINDOWS\\INF\\wmp10.inf,PerUserStub"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\HTML\Default Editor\shell\Print\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\mshtml.dll,printhtml "%1"
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,6d,73,68,74,6d,6c,2e,64,6c,6c,2c,50,72,\
69,6e,74,48,54,4d,4c,20,22,25,31,22,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared\HTML\Old Default Editor\shell\Print\command]
; Contents of value:
; rundll32.exe %systemroot%\system32\mshtml.dll,printhtml "%1"
@=hex(2):72,75,6e,64,6c,6c,33,32,2e,65,78,65,20,25,53,79,73,74,65,6d,52,6f,6f,\
74,25,5c,53,79,73,74,65,6d,33,32,5c,6d,73,68,74,6d,6c,2e,64,6c,6c,2c,50,72,\
69,6e,74,48,54,4d,4c,20,22,25,31,22,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileAssociation]
"KillList"="%1;explorer.exe;dvdplay.exe;mplay32.exe;msohtmed.exe;quikview.exe;rundll.exe;rundll32.exe;taskman.exe;bck32api.dll;"
"AddRemoveApps"="SETUP.EXE;INSTALL.EXE;ISUNINST.EXE;UNWISE.EXE;UNWISE32.EXE;ST5UNST.EXE;RUNDLL32.EXE;MSOOBE.EXE;LNKSTUB.EXE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"r"="C:\\WINDOWS\\down\\rundll32.exe"
"rzt"="C:\\WINDOWS\\Intel\\rundll32.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PCHealth]
"UninstallString"="rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\\WINDOWS\\INF\\PCHealth.inf"
"QuietUninstallString"="rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\\WINDOWS\\INF\\PCHealth.inf"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management\PrefetchParameters]
"HostingAppList"="DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Memory Management\PrefetchParameters]
"HostingAppList"="DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"HostingAppList"="DLLHOST.EXE,MMC.EXE,RUNDLL32.EXE"

[HKEY_USERS\.DEFAULT\Software\Netscape\Netscape Navigator\Viewers]
"text/iuls"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"text/h323"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"application/x-iphone"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

[HKEY_USERS\S-1-5-19\Software\Netscape\Netscape Navigator\Viewers]
"text/iuls"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"text/h323"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"application/x-iphone"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

[HKEY_USERS\S-1-5-20\Software\Netscape\Netscape Navigator\Viewers]
"text/iuls"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"text/h323"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"application/x-iphone"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

[HKEY_USERS\S-1-5-21-1645522239-362288127-725345543-1003\Software\Netscape\Netscape Navigator\Viewers]
"text/iuls"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"text/h323"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"application/x-iphone"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

[HKEY_USERS\S-1-5-18\Software\Netscape\Netscape Navigator\Viewers]
"text/iuls"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"text/h323"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"
"application/x-iphone"="\"rundll32.exe\" msconf.dll,NewMediaPhone %l"

; End Of The Log...

rundl132

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 25.12.2006 22:40:50 for strings:
; 'rundl132'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\\WINDOWS\\uninstall\\rundl132.exe"

; End Of The Log...

[/b]

_________________

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|r
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rzt
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|load
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|ms
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wl

Files to delete:
C:\Windows\IE4 Error Log.txt
C:\Program Files\Microsoft\svhost32.exe
C:\WINDOWS\down\rundll32.exe
C:\WINDOWS\Download\svhost32.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\Intel\rundll32.exe
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\gtb2k1031.exe
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\$$a9.bat

Folders to delete:
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\WER3.tmp.dir00

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2