Home » Viren, Trojaner & Malware Forum » tr/obfuscated.bk.2 per Netpumper eingefangen » Themenansicht

tr/obfuscated.bk.2 per Netpumper eingefangen

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.01.2007, 21:02
Unrealer
...neu hier

Beiträge: 5
#1 Habe wie schon viele nen Trojaner über Netpumper eingefangen;)
Habe mich durch googlen bereits erkundigt aber nicht wirklich viel gefunden!
Hoffe hier kann mir jemand helfen;)

Logfile of HijackThis v1.99.1
Scan saved at 21:02:35, on 23.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
D:\Programme\Utils\ZoneAlarm\zlclient.exe
D:\Programme\Utils\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Unrealer.JAN\Desktop\hijackthis\Prüfung.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://youtube.com/get_video.php?video_id=YG6SyiIMXWM&l=450&t=OEgsToPDskLN_YbWRRvNodJG7xutduOJ
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Utils\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Utils\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\Utils\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "f:\spiele\ego-shooter\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134830113734
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Programme\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hoffe ihr findet hier etwas und könnt sagen wie ich es dann auch runterbekommen;)

Edit: AntiVir findet den Trojaner auch nicht mehr,aber es öffnen sich trotzdem Popups


Außerdem....

"Unrealer" - 07-01-23 21:08:42 Service Pack 2
ComboFix 07-01-23.2 - Running from: "C:\Dokumente und Einstellungen\Unrealer.JAN\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\SVKP.sys
C:\WINDOWS\system32\sysdm.exe
C:\INSTALL.LOG


((((((((((((((((((((((((((((((( Files Created from 2006-12-23 to 2007-01-23 ))))))))))))))))))))))))))))))))))


2007-01-23 20:45 <DIR> d-------- C:\!KillBox
2007-01-23 20:39 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\AdobeUM
2007-01-23 20:39 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\Adobe
2007-01-23 18:01 <DIR> d-------- C:\Programme\DesktopEarth
2007-01-23 18:00 5,632 --a------ C:\WINDOWS\system32\drivers\Entech64.sys
2007-01-23 18:00 3,972 --a------ C:\WINDOWS\system32\drivers\PciBus.sys
2007-01-23 18:00 21,664 --a------ C:\WINDOWS\system32\drivers\Entech.sys
2007-01-23 18:00 <DIR> d-------- C:\WINDOWS\system32\Futuremark
2007-01-20 12:52 <DIR> d-------- C:\Programme\phase5
2007-01-20 12:24 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\CyberLink
2007-01-19 21:51 <DIR> d-------- C:\Programme\Proxy Switcher Standard
2007-01-19 21:51 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\WNR
2007-01-19 20:59 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\Lavasoft
2007-01-19 20:13 <DIR> d-------- C:\Programme\Surf delete roam
2007-01-19 20:13 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\Surf delete roam
2007-01-19 20:13 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\NetPumper
2007-01-19 17:44 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\T-Online
2007-01-17 20:41 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Shared
2007-01-17 20:41 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Incomplete
2007-01-17 20:40 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\LimeWire
2007-01-17 19:20 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\Lingo4u
2007-01-16 21:20 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\ArcSoft
2007-01-16 20:36 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\Sun
2007-01-16 18:55 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\teamspeak2
2007-01-16 15:00 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\Talkback
2007-01-16 14:40 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-01-16 14:40 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-01-16 14:38 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\Winamp
2007-01-16 14:37 <DIR> d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\ICQLite
2007-01-15 21:21 <DIR> dr-h----- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten
2007-01-15 21:21 <DIR> dr------- C:\DOKUME~1\Unrealer.JAN\Startmen
2007-01-15 21:21 <DIR> dr------- C:\DOKUME~1\Unrealer.JAN\Favoriten
2007-01-15 21:21 <DIR> dr------- C:\DOKUME~1\Unrealer.JAN\Eigene Dateien
2007-01-15 21:21 <DIR> d--h----- C:\DOKUME~1\Unrealer.JAN\Vorlagen
2007-01-15 21:21 <DIR> d--h----- C:\DOKUME~1\Unrealer.JAN\Netzwerkumgebung
2007-01-15 21:21 <DIR> d--h----- C:\DOKUME~1\Unrealer.JAN\Lokale Einstellungen
2007-01-15 21:21 <DIR> d--h----- C:\DOKUME~1\Unrealer.JAN\Druckumgebung
2007-01-15 17:52 163,328 -r-hs---- C:\WINDOWS\system32\flvDX.dll
2007-01-14 18:30 <DIR> d-------- C:\Programme\AVI MPEG RM WMV Splitter
2007-01-14 12:05 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Adobe
2007-01-07 20:36 <DIR> d-------- C:\Programme\Software Shelf
2007-01-07 19:16 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-01-07 19:15 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-01-07 19:15 <DIR> d-------- C:\Programme\AGEIA Technologies
2007-01-07 19:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-01-06 20:59 <DIR> d-------- C:\Programme\Motorola Phone Tools
2007-01-06 20:52 <DIR> d-------- C:\Programme\LiveUpdate
2007-01-06 20:12 25,600 --a------ C:\WINDOWS\system32\drivers\usbsermptxp.sys
2007-01-06 17:04 2,977,792 --------- C:\WINDOWS\UNRecode.exe
2007-01-06 14:11 <DIR> d-------- C:\Programme\HelDecPack
2007-01-06 13:19 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2007-01-06 09:41 <DIR> d-------- C:\Programme\Gamers.IRC
2007-01-06 00:15 16,224 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-01-06 00:15 <DIR> d-------- C:\Programme\Opera
2007-01-05 23:59 3,840 --a------ C:\WINDOWS\system32\drivers\BANTExt.sys
2007-01-05 23:59 <DIR> d-------- C:\Programme\Belarc
2007-01-05 22:48 <DIR> d-------- C:\Programme\SpeedSim
2007-01-03 19:11 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\ScanSoft
2006-12-31 13:30 49,152 -ra------ C:\WINDOWS\system32\SiSWBase.dll
2006-12-31 13:30 237,568 -ra------ C:\WINDOWS\system32\SiSWPars.dll
2006-12-31 13:30 155,648 -ra------ C:\WINDOWS\system32\SiSWInst.dll
2006-12-31 13:24 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2006-12-31 13:24 <DIR> d-------- C:\Programme\Free WMA to MP3 Converter
2006-12-31 13:24 <DIR> d-------- C:\Programme\EA SPORTS
2006-12-29 13:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2006-12-25 17:39 <DIR> d-------- C:\Programme\Google
2006-12-25 17:37 67,288 --a------ C:\WINDOWS\system32\SSPNG2.DLL


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-23 20:52 -------- d-------- C:\Programme\mozilla firefox
2007-01-23 20:31 -------- d-------- C:\Programme\antivir personaledition classic
2007-01-23 18:00 -------- d--h----- C:\Programme\installshield installation information
2007-01-20 14:20 -------- d---s---- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\microsoft
2007-01-18 17:06 -------- d-------- C:\Programme\skype
2007-01-15 21:24 -------- d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\macromedia
2007-01-15 21:22 -------- d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\mozilla
2007-01-15 21:21 -------- d-------- C:\DOKUME~1\Unrealer.JAN\Anwendungsdaten\identities
2007-01-13 20:32 65536 --a--c--- C:\WINDOWS\ifinst27.exe
2007-01-12 23:46 -------- d-------- C:\Programme\Gemeinsame Dateien\stardock
2007-01-10 14:21 -------- d-------- C:\Programme\icqlite
2007-01-08 18:01 43602 --a------ C:\WINDOWS\system32\xvid-uninstall.exe
2007-01-07 20:24 639224 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-01-06 20:50 -------- d-------- C:\Programme\mozilla thunderbird
2007-01-06 17:04 -------- d-------- C:\Programme\ahead
2006-12-17 18:39 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-17 18:39 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-12 14:15 845312 --a------ C:\WINDOWS\system32\smab.dll
2006-12-08 13:50 217088 --a------ C:\WINDOWS\system32\xvidvfw.dll
2006-12-08 13:47 1159168 --a------ C:\WINDOWS\system32\xvidcore.dll
2006-12-01 18:34 53248 --a------ C:\WINDOWS\system32\physxloader.dll
2006-11-24 20:20 -------- d-------- C:\Programme\smartsound software
2006-11-24 20:20 -------- d-------- C:\Programme\quicktime
2006-11-24 20:19 -------- d-------- C:\Programme\windows media-komponenten
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpaneltraditionalchinese.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelswedish.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelspanish.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelsimplifiedchinese.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelportugese.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelkorean.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpaneljapanese.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelgerman.dll
2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelfrench.dll
2006-11-12 13:44 306688 --a------ C:\WINDOWS\system32\avisynth.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"="\"f:\\spiele\\ego-shooter\\steam\\steam.exe\" -silent"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_03\\bin\\jusched.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"Zone Labs Client"="\"D:\\Programme\\Utils\\ZoneAlarm\\zlclient.exe\""
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -minimize"
"VirtualCloneDrive"="\"D:\\Programme\\Utils\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"UnlockerAssistant"="\"C:\\Programme\\Unlocker\\UnlockerAssistant.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^gwlinks.lnk]
"path"="C:\\Dokumente und Einstellungen\\Administrator\\Startmenü\\Programme\\Autostart\\gwlinks.lnk"
"backup"="C:\\WINDOWS\\pss\\gwlinks.lnkStartup"
"location"="Startup"
"command"="D:\\PROGRA~1\\Utils\\gwlinks\\gwlinks.exe "
"item"="gwlinks"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Mousometer.lnk]
"path"="C:\\Dokumente und Einstellungen\\Administrator\\Startmenü\\Programme\\Autostart\\Mousometer.lnk"
"backup"="C:\\WINDOWS\\pss\\Mousometer.lnkStartup"
"location"="Startup"
"command"="D:\\Fun\\MOUSOM~1\\MOUSOM~1.EXE "
"item"="Mousometer"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^DesktopEarth AutoStart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\DesktopEarth AutoStart.lnk"
"backup"="C:\\WINDOWS\\pss\\DesktopEarth AutoStart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{DBA5E973-660D-4CBE-A469-F5C37FBF0CE4}\\_C1A9BF9D98647632ED5172.exe "
"item"="DesktopEarth AutoStart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\32manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="multilogoburn"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\Unrealer.JAN\\ANWEND~1\\SURFDE~1\\multilogoburn.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAAScreenSavers_WhenUSaveNow_Installer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AAAScreenSavers_WhenUSaveNow_Installer"
"hkey"="HKLM"
"command"="C:\\Programme\\AAAScreenSavers_WhenUSaveNow_Installer\\AAAScreenSavers_WhenUSaveNow_Installer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BootSkin Startup Jobs]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BootSkin"
"hkey"="HKLM"
"command"="\"D:\\Programme\\Utils\\BootSkin\\BootSkin.exe\" /StartupJobs"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"D:\\Programme\\Utils\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InCD"
"hkey"="HKLM"
"command"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microdesk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Microdesk"
"hkey"="HKCU"
"command"="D:\\Programme\\Utils\\MicroDesk\\Microdesk.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\myplaycity_WhenUSave_Installer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="myplaycity_WhenUSave_Installer"
"hkey"="HKLM"
"command"="C:\\Programme\\myplaycity_WhenUSave_Installer\\myplaycity_WhenUSave_Installer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nbj"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Ahead\\Nero BackItUp\\nbj.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Omnipage]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="opware32"
"hkey"="HKLM"
"command"="D:\\Programme\\Scanner\\ScanSoft\\OmniPageSE\\opware32.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Profiler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Profiler"
"hkey"="HKCU"
"command"="C:\\Programme\\Saitek\\Software\\Profiler.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSwitch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ProxySwitcher"
"hkey"="HKCU"
"command"="C:\\Programme\\Proxy Switcher Standard\\ProxySwitcher.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Programme\\CyberLink DVD Solution\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoboForm]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RoboTaskBarIcon"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SOUNDMAN"
"hkey"="HKLM"
"command"="SOUNDMAN.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="D:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="\"F:\\Spiele\\Ego-Shooter\\Steam\\Steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS10 Preload]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="uvPL"
"hkey"="HKLM"
"command"="D:\\Programme\\Utils\\Musik_Videos\\Video Studio\\uvPL.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winlogons"
"hkey"="HKLM"
"command"="D:\\Programme\\Free KGB Key Logger\\winlogons.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_ENTECH

Completion time: 07-01-23 21:09:51
Dieser Beitrag wurde am 23.01.2007 um 21:10 Uhr von Unrealer editiert.
Seitenanfang Seitenende
24.01.2007, 01:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Unrealer

««
Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

dir %Windir%\tasks /a h > files.txt
notepad files.txt
- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text

_________
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 14:26
Unrealer
...neu hier

Themenstarter

Beiträge: 5
#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4863-92A4

Verzeichnis von C:\WINDOWS\tasks

04.03.2006 14:02 <DIR> .
04.03.2006 14:02 <DIR> ..
18.08.2001 20:00 65 desktop.ini
24.01.2007 14:06 6 SA.DAT
2 Datei(en) 71 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Unrealer.JAN\Desktop

___
Dieser Beitrag wurde am 24.01.2007 um 14:36 Uhr von Unrealer editiert.
Seitenanfang Seitenende
24.01.2007, 14:41
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\myplaycity_WhenUSave_Installer
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\winlogons.exe
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\32manager

Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KSP
C:\Programme\AAAScreenSavers_WhenUSaveNow_Installer
C:\Programme\Surf delete roam
C:\Dokumente und Einstellungen\Unrealer.JAN\Anwendungsdaten\Surf delete roam
C:\Dokumente und Einstellungen\Unrealer.JAN\Anwendungsdaten\NetPumper
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
deinstalliere, loesche:
D:\Programme\Free KGB Key Logger

««
scanne, stelle alles auf remove
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.01.2007, 15:42
Unrealer
...neu hier

Themenstarter

Beiträge: 5
#5 Alles gemacht wie empfohlen.Bis jetzt kam kein weiteres Pop-up;)

Möchte mich ganz herzlich für deine Hilfe Bedanken;)

Mfg Unrealer
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1