Home » Spyware & Browser Hijacker Support Forum » System Doctor, medload, titanshield... » Themenansicht
System Doctor, medload, titanshield... |
||
|---|---|---|
| #0
| ||
|
23.01.2007, 21:31
Member
Beiträge: 38 |
||
 
|
|
|
|
24.01.2007, 01:34
Ehrenmitglied
 Beiträge: 29434 |
#2
««
poste dieses log http://virus-protect.org/artikel/tools/combofix.html «« stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopie ««re diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.01.2007, 14:28
Member
Themenstarter Beiträge: 38 |
#3
AntiVir habe ich heut morgen 3 Stunden komplett (mit den Einstellungen hier aus dem Forum) durchlaufen lassen. Es wurde kein Virus gefunden.
1. combofix log Datei: "Tobi" - 07-01-24 12:45:45 Service Pack 2 ComboFix 07-01-23.2 - Running from: "D:\downloads\hthis" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\taskmgr.com C:\INSTALL.LOG C:\WINDOWS\REGEDIT.com C:\WINDOWS\logo1_.exe ((((((((((((((((((((((((((((((( Files Created from 2006-12-24 to 2007-01-24 )))))))))))))))))))))))))))))))))) 2007-01-24 13:29 <DIR> d-------- C:\WINDOWS\erdnt 2007-01-23 20:45 <DIR> d-a------ C:\WINDOWS\zts2.exe 2007-01-23 20:45 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll 2007-01-23 20:45 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll 2007-01-23 20:45 <DIR> d-a------ C:\WINDOWS\rundll16.exe 2007-01-23 20:45 <DIR> d-a------ C:\WINDOWS\rundl132.dll 2007-01-23 20:35 153,600 --a------ C:\WINDOWS\R.COM 2007-01-23 20:35 140,800 --a------ C:\WINDOWS\system32\T.COM 2007-01-13 20:49 5,926 --a------ C:\DOKUME~1\Tobi\up.reg 2007-01-13 20:49 5,926 --a------ C:\DOKUME~1\Tobi\low.reg 2007-01-12 14:56 5,926 --a------ C:\DOKUME~1\Tobi\4D36E965-E325-11CE-BFC1-08002BE10318.reg 2007-01-05 11:14 <DIR> d--hs---- C:\found.001 2007-01-03 15:17 <DIR> d-------- C:\Programme\Zoo Digital Publishing 2007-01-02 19:54 101,376 --a------ C:\WINDOWS\system32\drivers\ACEDRV07.sys 2006-12-27 11:57 <DIR> d--hs---- C:\found.000 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-01-24 13:33 2169 --ahs---- C:\WINDOWS\system32\mmf.sys 2007-01-24 12:40 -------- d-------- C:\Programme\mozilla firefox 2007-01-23 22:23 -------- d-------- C:\Programme\antivir personaledition classic 2007-01-23 20:49 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\sopcast 2007-01-17 16:28 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\staroffice8 2007-01-15 18:45 -------- d--h----- C:\Programme\installshield installation information 2007-01-04 23:56 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard 2006-12-25 12:46 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\utorrent 2006-12-21 17:49 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys 2006-12-21 17:49 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys 2006-12-17 13:28 -------- d-------- C:\Programme\maxtv 2006-12-17 13:28 -------- d-------- C:\Programme\maxsoftware 2006-12-10 16:58 359808 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS 2006-12-08 12:02 251672 --a------ C:\WINDOWS\system32\xactengine2_5.dll 2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll 2006-12-06 13:35 -------- d-------- C:\Programme\flashfxp 2006-12-03 18:32 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\flashfxp 2006-12-01 21:31 -------- d---s---- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\microsoft 2006-12-01 18:34 53248 --a------ C:\WINDOWS\system32\physxloader.dll 2006-11-30 20:29 -------- d-------- C:\Programme\icqlite 2006-11-29 13:06 3426072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2006-11-24 14:01 -------- d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\universal boxing manager 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpaneltraditionalchinese.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelswedish.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelspanish.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelsimplifiedchinese.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelportugese.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelkorean.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpaneljapanese.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelgerman.dll 2006-11-22 11:37 45056 --a------ C:\WINDOWS\system32\agcpanelfrench.dll 2006-11-15 11:38 15128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll 2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll 2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll 2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll 2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll 2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll 2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll 2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll 2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll 2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll 2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll 2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll 2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll 2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe 2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll 2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll 2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe 2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll 2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll 2006-11-04 14:17 1245696 --a------ C:\WINDOWS\system32\msxml4.dll 2006-10-28 18:48 737280 --a------ C:\WINDOWS\iun6002.exe 2006-10-27 13:00 98304 --a------ C:\WINDOWS\system32\cmdlineext.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "K9"="C:\\\\Dokumente und Einstellungen\\\\Tobi\\\\Desktop\\\\K9.exe" "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\"" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] "ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "ppmate"="D:\\Programme\\PPMate\\PPMate\\ppmate.exe -autoplay" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS] "Installed"="1" [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 bthsvcs REG_MULTI_SZ BthServ\0\0 Usnsvc REG_MULTI_SZ usnsvc\0\0 [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F] Shell\AutoRun\command F:\setup.exe Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\HP Usg Daily.job Completion time: 07-01-24 13:36:13 2. Cleanup wurde (auch gestern schon) durchgeführt. 3. datfindbat: In D:\ nur folgendes bei allen 6 Logs: "23.12.2006 12:53 452 ioSpecial.ini" In C:\: Verzeichnis von C:\WINDOWS\system32 24.01.2007 13:40 54.112 vsconfig.xml 24.01.2007 13:37 21.961 nvapps.xml 24.01.2007 13:34 13.646 wpa.dbl 24.01.2007 13:33 2.169 mmf.sys 24.01.2007 13:33 361.422 OODBS.lor 08.12.2006 12:02 251.672 xactengine2_5.dll 08.12.2006 00:13 10.716.584 MRT.exe 07.12.2006 06:29 2.374.472 wmvcore.dll 01.12.2006 18:34 53.248 PhysXLoader.dll 29.11.2006 16:09 385.024 PhysX.cpl 29.11.2006 13:06 3.426.072 d3dx9_32.dll 22.11.2006 11:37 45.056 AgCPanelTraditionalChinese.dll 22.11.2006 11:37 45.056 AgCPanelSpanish.dll 22.11.2006 11:37 45.056 AgCPanelSimplifiedChinese.dll 22.11.2006 11:37 45.056 AgCPanelPortugese.dll 22.11.2006 11:37 45.056 AgCPanelKorean.dll 22.11.2006 11:37 45.056 AgCPanelJapanese.dll 22.11.2006 11:37 45.056 AgCPanelGerman.dll 22.11.2006 11:37 45.056 AgCPanelFrench.dll 22.11.2006 11:37 45.056 AgCPanelSwedish.dll 17.11.2006 18:54 1.040.384 ieframe.dll.mui 17.11.2006 18:53 12.288 advpack.dll.mui 15.11.2006 11:38 15.128 x3daudio1_1.dll 10.11.2006 20:46 57 peer.ini 10.11.2006 15:37 580 PhysX.cpl.manifest 08.11.2006 06:06 679.424 inetcomm.dll 07.11.2006 21:03 818.688 wininet.dll 07.11.2006 21:03 6.049.280 ieframe.dll 07.11.2006 21:03 191.488 iepeers.dll 07.11.2006 21:03 670.720 mstime.dll 07.11.2006 21:03 131.584 extmgr.dll 07.11.2006 21:03 27.136 jsproxy.dll 07.11.2006 21:03 156.160 msls31.dll 07.11.2006 21:03 413.696 vbscript.dll 07.11.2006 21:03 475.648 mshtmled.dll 07.11.2006 21:03 3.577.856 mshtml.dll 07.11.2006 21:03 1.162.240 urlmon.dll 07.11.2006 21:03 458.752 msfeeds.dll 07.11.2006 21:03 180.736 ieui.dll 07.11.2006 21:03 50.688 msfeedsbs.dll 07.11.2006 21:03 231.424 webcheck.dll 07.11.2006 03:27 382.976 iedkcs32.dll 07.11.2006 03:27 229.376 ieaksie.dll 07.11.2006 03:26 152.064 ieakeng.dll 07.11.2006 03:26 71.680 admparse.dll 07.11.2006 03:26 55.296 iesetup.dll 07.11.2006 03:26 13.312 ieudinit.exe 07.11.2006 03:26 43.008 iernonce.dll 07.11.2006 03:26 54.784 ie4uinit.exe 07.11.2006 03:26 123.904 advpack.dll 07.11.2006 03:26 92.672 inseng.dll 07.11.2006 03:25 161.792 ieakui.dll 07.11.2006 03:24 56.483 ieuinit.inf 04.11.2006 14:17 1.245.696 msxml4.dll Verzeichnis von C:\DOKUME~1\Tobi\LOKALE~1\Temp 24.01.2007 13:47 16.384 ~DF2FDD.tmp 24.01.2007 13:47 512 ~DF2FEE.tmp 24.01.2007 13:47 512 ~DF2FC7.tmp 24.01.2007 13:47 16.384 ~DF2FB6.tmp 24.01.2007 13:47 512 ~DF2FA2.tmp 24.01.2007 13:47 512 ~DF2F7D.tmp 24.01.2007 13:47 16.384 ~DF2F91.tmp 24.01.2007 13:47 16.384 ~DF2F56.tmp 24.01.2007 13:46 512 ~DFFB0D.tmp 24.01.2007 13:46 16.384 ~DFFAFC.tmp 24.01.2007 13:46 16.384 ~DFFAD7.tmp 24.01.2007 13:46 512 ~DFFAC3.tmp 24.01.2007 13:46 16.384 ~DFFAB2.tmp 24.01.2007 13:46 512 ~DFFAE8.tmp 24.01.2007 13:46 512 ~DFFA9E.tmp 24.01.2007 13:46 16.384 ~DFFA87.tmp 24.01.2007 13:46 16.384 ~DFEB53.tmp 24.01.2007 13:46 16.384 ~DFDCA0.tmp 24.01.2007 13:46 512 ~DFDCB7.tmp 20.01.2006 14:46 16.384 ~DF8281.tmp Verzeichnis von C:\WINDOWS 24.01.2007 13:34 1.336.978 WindowsUpdate.log 24.01.2007 13:34 159 wiadebug.log 24.01.2007 13:33 0 wiaservc.log 24.01.2007 13:33 0 0.log 24.01.2007 13:33 2.048 bootstat.dat 23.01.2007 22:51 32.610 SchedLgU.Txt 23.01.2007 21:57 50 Lic.xxx 23.01.2007 21:28 1.237 win.ini 23.01.2007 21:04 262 wininit.ini 23.01.2007 20:47 6.939.245 REGBK00.ZIP 23.01.2007 16:56 155 winamp.ini 21.01.2007 18:07 755.664 setupapi.log 21.01.2007 18:07 116 NeroDigital.ini 19.01.2007 16:02 737.748 ntbtlog.txt 05.01.2007 16:22 1.525 cncscore.ini 05.01.2007 00:15 362 bitsetup.log 04.01.2007 17:07 113.451 iis6.log 04.01.2007 17:07 250.858 comsetup.log 04.01.2007 17:07 154.269 ntdtcsetup.log 04.01.2007 17:07 289.858 tsoc.log 04.01.2007 17:07 1.891 imsins.log 04.01.2007 17:07 39.977 ocmsn.log 04.01.2007 17:07 37.206 msgsocm.log 04.01.2007 17:07 385.224 ocgen.log 04.01.2007 17:07 725.899 FaxSetup.log 03.01.2007 15:20 269.258 DirectX.log 25.12.2006 13:36 158.750 setupact.log 23.12.2006 17:34 25 dermacherscore.ini 17.12.2006 13:28 66.228 MaxTV Setup Log.txt 15.12.2006 13:13 104.374 spupdsvc.log 15.12.2006 13:01 1.393 imsins.BAK 15.12.2006 13:01 52.972 KB923689.log 15.12.2006 13:01 51.974 KB925398.log 15.12.2006 13:00 50.568 KB923694.log 15.12.2006 13:00 49.712 KB926255.log 15.12.2006 13:00 75.973 updspapi.log 15.12.2006 12:59 63.948 KB925454.log 15.12.2006 12:59 23.726 ie7_main.log 15.12.2006 12:58 53.264 ie7.log 15.12.2006 12:54 12.828 IDNMitigationAPIs.log 15.12.2006 12:53 12.497 NLSDownlevelMapping.log 15.12.2006 12:52 8.263 KB915865.log 15.12.2006 12:51 5.973 KB914440.log 15.12.2006 12:51 21.019 KB920213.log 15.12.2006 12:50 11.261 KB904942.log 28.11.2006 23:25 376.605 wmsetup.log 18.11.2006 17:51 23.098 KB922760.log 18.11.2006 17:49 14.633 KB924270.log 18.11.2006 17:49 13.353 KB923980.log 12.11.2006 16:53 361 psnetwork.ini 10.11.2006 22:11 20 powerplayer.ini 10.11.2006 14:53 4.295 cdplayer.ini 09.11.2006 14:16 8.399 mozver.dat 28.10.2006 18:48 737.280 iun6002.exe Verzeichnis von C:\WINDOWS\TEMP 24.01.2007 13:39 256 ZLT05bd9.TMP 24.01.2007 13:39 256 ZLT05bcc.TMP Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.11.2006 14:36 5.019 swflash.inf Verzeichnis von C:\ 24.01.2007 14:27 0 sys.txt 24.01.2007 14:27 981 down.txt 24.01.2007 14:27 327 tmp.txt 24.01.2007 14:27 19.859 system.txt 24.01.2007 14:26 1.269 systemtemp.txt 24.01.2007 14:26 125.030 system32.txt 24.01.2007 13:36 8.029 ComboFix.txt 24.01.2007 13:33 805.306.368 pagefile.sys 23.01.2007 21:23 0 23990098.$$$ Allerdings schlug der AntiHEUR/Exploit.HTML in Anwendungsdaten\Mozilla\Firefox\Profiles\aaolzujk.default\sessionstore-1.js gerade eben Alarm (habe gestern auch kompletten Cache etc. gelöscht). Denke es ist ein Fehlalarm? Habe die browser.sessionstore mal deaktiviert, seitdem läutet der Guard nicht mehr Alarm... Im Voraus vielen Dank! |
|
|
|
|
|
|
24.01.2007, 16:10
Ehrenmitglied
Beiträge: 29434 |
#4
Tobi-A
virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\mmf.sys C:\Dokumente und Einstellungen\Tobi\Desktop\K9.exe C:\WINDOWS\rundll16.exe C:\WINDOWS\rundl132.dll C:\WINDOWS\zts2.exe C:\WINDOWS\system32\vcmgcd32.dll C:\WINDOWS\system32\iifgfgf.dll poste die reporte ------------------------------------------------------------- «« f-secure http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe - poste das log, was erscheint «« lade FindIt_Nt-2k-XP Doppelklick find.bat --> output.txt - poste den text http://virus-protect.org/artikel/tools/FindItNt2kXP.html -------------------------------------------------------------- «« Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten -------------------------------------------------------------------------- «« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.01.2007, 21:37
Member
Themenstarter Beiträge: 38 |
#5
1. virustotal:
mmf.sys: kein virus C:\WINDOWS\rundll16.exe C:\WINDOWS\rundl132.dll C:\WINDOWS\zts2.exe C:\WINDOWS\system32\vcmgcd32.dll C:\WINDOWS\system32\iifgfgf.dll -> alles Ordner K9.exe: Mein Anti-Spam Programm. Allerdings hat eSafe gemeldet, dass es ein "suspicious Trojan/Worm" wäre (Fehlalarm?), alle anderen haben keinen gefunden. --- 2. f-secure -> nichts gefunden --- 3. FindIt Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you're doing. Find.bat is running from: D:\downloads\hthis\findit\Find It NT-2K-XP ------- System Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8014-A891 Verzeichnis von C:\WINDOWS\System32 24.01.2007 18:18 2.169 mmf.sys 19.01.2007 18:07 <DIR> dllcache 24.02.2004 19:29 <DIR> Microsoft 1 Datei(en) 2.169 Bytes 2 Verzeichnis(se), 44.622.823.424 Bytes frei ------- Hidden Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8014-A891 Verzeichnis von C:\WINDOWS\System32 24.01.2007 18:18 2.169 mmf.sys 19.01.2007 18:07 <DIR> dllcache 09.10.2006 13:51 4.212 zllictbl.dat 16.09.2004 18:16 488 WindowsLogon.manifest 16.09.2004 18:16 488 logonui.exe.manifest 16.09.2004 18:16 749 sapi.cpl.manifest 16.09.2004 18:16 749 nwc.cpl.manifest 16.09.2004 18:16 749 ncpa.cpl.manifest 16.09.2004 18:16 749 wuaucpl.cpl.manifest 16.09.2004 18:16 749 cdplayer.exe.manifest 9 Datei(en) 11.102 Bytes 1 Verzeichnis(se), 44.622.819.328 Bytes frei ------------ Files Named "Guard" --------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8014-A891 Verzeichnis von C:\WINDOWS\System32 15.02.2006 16:08 <DIR> AVGUARD_43f597f0 0 Datei(en) 0 Bytes 1 Verzeichnis(se), 44.622.819.328 Bytes frei ------ Temp Files in System32 Directory ------ Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 8014-A891 Verzeichnis von C:\WINDOWS\System32 11.08.2004 00:41 1.027.072 SET237.tmp 11.08.2004 00:41 229.376 SET228.tmp 29.08.2002 13:00 2.951 CONFIG.TMP 3 Datei(en) 1.259.399 Bytes 0 Verzeichnis(se), 44.622.819.328 Bytes frei ------------------ User Agent ---------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] ------------- Keys Under Notify ------------- REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] "Logon"="WLEventLogon" "Logoff"="WLEventLogoff" "Startup"="WLEventStartup" "Shutdown"="WLEventShutdown" "StartScreenSaver"="WLEventStartScreenSaver" "StopScreenSaver"="WLEventStopScreenSaver" "Lock"="WLEventLock" "Unlock"="WLEventUnlock" "StartShell"="WLEventStartShell" "PostShell"="WLEventPostShell" "Disconnect"="WLEventDisconnect" "Reconnect"="WLEventReconnect" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000000 "SafeMode"=dword:00000001 "MaxWait"=dword:ffffffff "DllName"=hex(2):57,67,61,4c,6f,67,6f,6e,2e,64,6c,6c,00 "Event"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings] "Data"=hex:01,00,00,00,d0,8c,9d,df,01,15,d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,\ 00,00,48,43,cd,97,4b,c4,b3,46,a5,91,60,0a,a2,b0,64,af,04,00,00,00,04,00,00,\ 00,53,00,00,00,03,66,00,00,a8,00,00,00,10,00,00,00,11,71,14,72,c3,30,45,70,\ b5,2e,91,fd,00,b6,e8,4a,00,00,00,00,04,80,00,00,a0,00,00,00,10,00,00,00,76,\ 54,bb,f1,86,c0,bb,9e,02,81,e6,fc,ab,9e,07,36,30,05,00,00,87,74,8f,16,5f,ac,\ 7d,aa,4b,c3,43,dc,f5,10,62,f9,75,df,a0,46,c2,33,f0,c1,c5,87,5e,13,5d,0e,f3,\ e3,10,1a,31,2d,ed,99,95,30,09,0d,cd,78,ed,f0,54,c3,19,52,bd,b2,51,da,c3,21,\ 29,53,16,62,aa,ea,9e,9a,71,39,0c,3e,cc,c8,ef,1e,00,af,ff,36,31,14,bb,1c,f0,\ 95,e9,b5,d1,2a,d1,92,3a,b0,57,cf,74,e6,82,c8,1f,f5,c6,3e,bf,40,24,01,aa,ab,\ c9,a3,14,02,7b,3b,5c,43,b4,45,63,35,fe,98,a4,bf,32,e4,70,b0,62,6d,1e,b1,dd,\ e5,6e,34,87,9a,ce,c8,28,65,22,72,85,04,f3,ae,29,7e,af,34,63,54,10,38,61,36,\ 5e,d6,40,f9,b2,6f,e4,ee,d5,89,94,d0,51,04,ba,03,1e,7b,dc,0d,80,df,ab,2d,07,\ 22,34,0a,3b,d7,9b,1d,8b,aa,db,fc,b3,6b,a9,7a,e1,92,64,56,6c,2e,ff,dc,64,35,\ 59,6a,92,a6,b7,ed,e5,29,f1,e3,f0,b6,a0,0a,f8,aa,8d,ea,90,91,5f,19,75,f1,57,\ e3,5f,6e,dc,d3,e5,03,18,a0,83,dc,43,87,09,73,47,c7,ef,88,24,10,e0,33,93,c2,\ 3a,5d,e2,68,36,86,4d,15,25,68,fb,1e,34,0c,a7,ce,f5,54,31,e1,5d,a1,cb,1b,59,\ ba,0a,08,62,3e,03,8c,62,05,ae,7b,07,ea,bd,11,87,17,77,c3,77,16,87,9b,40,cd,\ 13,b1,22,d2,bb,bf,23,d6,0b,de,1a,f5,55,f9,68,5f,7f,fd,d3,1c,b2,da,66,e2,8a,\ a2,15,65,7c,1d,11,6e,ae,13,34,98,c6,99,dd,2e,77,59,78,e8,3f,55,b4,ee,b3,62,\ b1,49,91,79,49,86,82,e4,06,30,43,68,02,21,de,b3,84,88,0a,aa,7a,d6,61,09,51,\ 77,38,49,87,e6,3f,26,b0,c2,ff,b7,5c,4a,9c,b4,ff,07,68,05,fa,82,fb,5c,12,ac,\ 40,58,ad,f5,3e,2e,82,93,92,5c,a4,5d,0d,91,5b,0d,17,18,bc,88,a6,98,57,2c,85,\ a7,9b,1a,41,6c,7b,a2,64,1c,d7,a8,8f,a3,5d,6f,3c,17,7a,be,1b,b4,d3,bc,ca,f0,\ e4,b2,56,37,05,43,88,fb,60,ca,ba,66,93,f5,0b,d1,00,13,13,8f,42,a2,f0,32,41,\ 97,c8,08,50,d5,8e,a6,c7,62,ac,95,28,57,77,47,c4,08,cc,09,4c,6b,08,71,88,95,\ 7f,1e,79,c1,fc,a5,5a,e2,9f,ff,1d,99,16,a0,b4,3e,7f,46,4e,53,8c,a7,31,6c,d8,\ ee,5d,1a,4a,5c,73,7e,b8,36,ac,35,e7,ba,ae,ab,bf,0f,4d,f8,05,a8,05,97,70,b0,\ b1,cd,1c,01,c4,a7,68,d4,13,d0,33,93,9d,00,a5,43,cd,90,6d,ed,af,5a,4a,d9,c5,\ 3e,29,33,af,a0,b8,ad,18,76,f6,27,64,0f,17,98,60,32,2d,bd,ff,23,65,15,9a,cc,\ 22,36,81,79,2a,cf,80,29,5d,a5,64,80,4a,1d,50,69,2d,86,1b,ed,fc,e0,5e,f8,72,\ 91,b0,3e,19,97,92,e3,39,7f,51,e3,df,b2,8d,d7,55,83,4c,14,fb,be,1a,79,c8,7a,\ 27,44,4d,ad,c5,c8,b3,25,5b,7c,f3,25,55,8c,a2,9a,49,c1,62,b5,bb,47,4b,9b,ef,\ f4,eb,51,b8,f4,b5,0a,a1,ee,50,92,31,dd,eb,7b,0e,fd,11,a2,d4,e9,de,52,76,55,\ 17,ee,c1,1f,51,35,c4,ca,54,b0,e2,5d,3d,9f,47,8e,f1,3a,aa,f8,4d,67,c9,da,87,\ 71,0d,ab,f8,a1,db,33,67,fd,a2,3c,ec,e5,57,39,ae,e3,6e,34,69,ab,04,fa,89,9a,\ fb,59,b9,ba,f2,ea,c9,24,8f,37,4d,ea,57,98,e9,d2,89,a2,68,36,de,4f,c7,73,d3,\ a1,ed,9a,06,24,ea,b1,25,28,54,a8,50,6a,06,f7,e9,f5,64,c8,de,12,0c,ba,59,d9,\ 64,f4,df,61,94,ac,3b,2e,f3,a6,11,2f,df,e3,eb,e3,ce,f2,27,aa,c7,3f,3c,bf,9e,\ bd,b9,6d,1d,0d,be,5c,5e,86,26,20,14,f7,bf,38,21,6c,bf,d7,29,8a,35,9c,ba,4c,\ 52,b7,cb,b9,54,e7,e5,66,c1,e5,5e,b4,f2,21,98,13,74,9e,8e,dd,a6,8d,3f,4d,43,\ 0f,f5,86,dc,01,59,46,7c,bf,7a,ed,e8,7f,17,d3,6a,07,ce,d9,76,50,0e,a6,eb,48,\ b8,a2,45,a4,c3,f9,c1,7e,f4,16,9a,e4,b2,f6,22,22,1c,2a,02,8f,63,5d,e0,f4,7b,\ 2c,ae,86,90,de,3a,31,30,1b,f0,c5,33,ef,e8,c2,d3,c6,f1,6b,51,49,3f,24,6b,9a,\ 1b,01,81,5e,7d,94,55,9f,c5,10,55,ac,8f,96,19,7f,99,65,f0,25,65,7b,2a,4e,c4,\ 47,e4,cc,c6,1c,d5,87,24,3a,2a,3c,d5,c3,b2,f8,40,32,ba,e0,30,d1,59,cd,0d,ad,\ 31,00,e0,39,14,ee,85,a4,c1,68,1e,c0,a4,79,e7,70,86,0b,3f,4b,94,19,29,76,3a,\ b6,b1,96,fd,f8,eb,3e,6b,70,46,38,a3,79,5a,a7,8e,68,3c,9c,70,ce,f5,cc,e6,63,\ 63,cb,b8,4a,d8,27,5c,a0,8e,a2,1e,03,81,97,0b,ba,80,68,ad,14,ba,71,06,a7,01,\ 02,29,85,2c,c2,d1,b5,a3,03,45,3c,d5,80,41,ae,5d,f0,b1,47,9f,72,2d,a4,ca,f7,\ 9b,25,bd,a8,3b,c5,89,f8,0c,88,ba,1d,98,5e,a2,5f,33,4a,17,eb,a3,c3,f7,17,3e,\ 54,0c,f3,2e,e6,47,85,c8,be,7a,e3,8e,12,d5,c5,98,87,ac,cc,48,d2,54,b8,08,87,\ df,cb,96,00,43,14,23,18,2b,16,9b,ab,91,bc,49,56,82,03,a5,9c,6f,bf,fa,b7,f1,\ e7,f7,4c,96,6b,dd,c0,4b,35,47,e6,ed,b6,57,e6,02,44,a7,3b,2e,4c,e0,e9,bb,df,\ 3e,8c,32,79,27,a4,1b,e8,d5,6d,17,b9,5e,1a,bd,b7,60,2d,73,d6,45,ce,37,4d,b8,\ 75,ab,d1,1c,48,b0,b8,09,36,8c,4d,a1,bc,c4,ca,df,74,03,60,69,b5,8c,18,2c,22,\ 52,00,82,85,c3,49,a5,ed,e4,c0,f9,75,94,65,f8,52,cd,79,9c,11,51,29,a6,14,02,\ eb,29,36,ff,6c,ee,5b,1d,61,4e,a6,22,a0,eb,f6,b6,66,8a,94,92,18,53,00,d9,88,\ aa,64,f3,33,01,ec,71,4f,ff,fd,65,55,bb,bc,1b,a1,85,a1,49,67,d4,4b,14,00,00,\ 00,d0,ad,1d,ea,43,6a,d1,4f,ad,09,62,f6,2b,75,f3,d6,7b,bd,3f,4b [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ------------- Locate.com Results ------------- C:\WINDOWS\SYSTEM32\ mmf.sys Wed 24 Jan 2007 18:18:02 A.SH. 2.169 2,12 K 1 item found: 1 file, 0 directories. Total of file sizes: 2.169 bytes 2,12 K -------- Strings.exe Qoologic Results -------- --------- Strings.exe Aspack Results --------- C:\WINDOWS\system32\d3dx9_25.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_26.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_27.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_28.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_29.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_30.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_31.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_32.dll: D3DXUVAtlasPack C:\WINDOWS\system32\lame_enc.dll: .aspack C:\WINDOWS\system32\MRT.exe: (ASPack) C:\WINDOWS\system32\MRT.exe: (AsPack2k) C:\WINDOWS\system32\MRT.exe: (Aspack %s) C:\WINDOWS\system32\MRT.exe: ASPack 1.61 C:\WINDOWS\system32\MRT.exe: ASPack 1.084 C:\WINDOWS\system32\MRT.exe: ASPack 1.083 C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b C:\WINDOWS\system32\MRT.exe: ASPack 1.07b C:\WINDOWS\system32\MRT.exe: ASPack 1.05b C:\WINDOWS\system32\MRT.exe: ASPack 1.02 C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\msvcp70.dll: .aspack C:\WINDOWS\system32\msvcr70.dll: .aspack C:\WINDOWS\system32\ntdll.dll: .aspack C:\WINDOWS\system32\d3dx9_25.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_26.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_27.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_28.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_29.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_30.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_31.dll: D3DXUVAtlasPack C:\WINDOWS\system32\d3dx9_32.dll: D3DXUVAtlasPack C:\WINDOWS\system32\lame_enc.dll: .aspack C:\WINDOWS\system32\MRT.exe: (ASPack) C:\WINDOWS\system32\MRT.exe: (AsPack2k) C:\WINDOWS\system32\MRT.exe: (Aspack %s) C:\WINDOWS\system32\MRT.exe: ASPack 1.61 C:\WINDOWS\system32\MRT.exe: ASPack 1.084 C:\WINDOWS\system32\MRT.exe: ASPack 1.083 C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b C:\WINDOWS\system32\MRT.exe: ASPack 1.07b C:\WINDOWS\system32\MRT.exe: ASPack 1.05b C:\WINDOWS\system32\MRT.exe: ASPack 1.02 C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\MRT.exe: aspACK C:\WINDOWS\system32\msvcp70.dll: .aspack C:\WINDOWS\system32\msvcr70.dll: .aspack C:\WINDOWS\system32\ntdll.dll: .aspack -------------- HKLM Run Key ---------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "ppmate"="D:\\Programme\\PPMate\\PPMate\\ppmate.exe -autoplay" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" --- 4. avenger Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ujcwjtmh ******************* Script file located at: \??\C:\inbhrjkj.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Error: C:\WINDOWS\zts2.exe is a folder, not a file! Deletion of file C:\WINDOWS\zts2.exe failed! Could not process line: C:\WINDOWS\zts2.exe Status: 0xc00000ba Error: C:\WINDOWS\system32\vcmgcd32.dll is a folder, not a file! Deletion of file C:\WINDOWS\system32\vcmgcd32.dll failed! Could not process line: C:\WINDOWS\system32\vcmgcd32.dll Status: 0xc00000ba File C:\WINDOWS\system32\vcmgcd32.dl_ not found! Deletion of file C:\WINDOWS\system32\vcmgcd32.dl_ failed! Could not process line: C:\WINDOWS\system32\vcmgcd32.dl_ Status: 0xc0000034 Error: C:\WINDOWS\system32\iifgfgf.dll is a folder, not a file! Deletion of file C:\WINDOWS\system32\iifgfgf.dll failed! Could not process line: C:\WINDOWS\system32\iifgfgf.dll Status: 0xc00000ba Error: C:\WINDOWS\rundll16.exe is a folder, not a file! Deletion of file C:\WINDOWS\rundll16.exe failed! Could not process line: C:\WINDOWS\rundll16.exe Status: 0xc00000ba Error: C:\WINDOWS\rundl132.dll is a folder, not a file! Deletion of file C:\WINDOWS\rundl132.dll failed! Could not process line: C:\WINDOWS\rundl132.dll Status: 0xc00000ba Folder C:\WINDOWS\erdnt deleted successfully. Folder C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\sopcast deleted successfully. Registry key HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\(109DFD46-20F3-0D29-0600-010804010205) not found! Deletion of registry key HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\(109DFD46-20F3-0D29-0600-010804010205) failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. --- 5. SdFix: folgt morgen! |
|
|
|
|
|
|
24.01.2007, 22:08
Ehrenmitglied
Beiträge: 29434 |
#6
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT4«« Avenger Zitat Files to delete:+ poste den report von SdFix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.01.2007, 22:23
Member
Themenstarter Beiträge: 38 |
#7
Soll die fixme.reg auch aufgerufen werden?
wofür ist die mmf.sys eigentlich gut? Wurde ja auch kein Virus gefunden, trotzdem löschen? Und bei K9 war es dann wohl ein Fehlalarm von eSafe? Vielen Dank und viele Grüße Tobi |
|
|
|
|
|
|
24.01.2007, 22:36
Ehrenmitglied
Beiträge: 29434 |
#8
arbeite alles so ab, wie ich es geschrieben habe - und loesche noch nicht das backup vom avenger
 __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.01.2007, 22:57
Member
Themenstarter Beiträge: 38 |
||
|
|
|
|
|
24.01.2007, 22:58
Ehrenmitglied
Beiträge: 29434 |
#10
erst mal korrekt erstellen, dann doppeltklicken und der registry beifuegen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.01.2007, 17:04
Member
Themenstarter Beiträge: 38 |
#11
wurd gemacht
Alle Ordner aus Avenger waren nach der Ausführung noch vorhanden: Folders to delete: C:\WINDOWS\zts2.exe C:\WINDOWS\system32\vcmgcd32.dll C:\WINDOWS\system32\iifgfgf.dll C:\WINDOWS\rundll16.exe C:\WINDOWS\rundl132.dll Konnte sie aber manuell löschen und habe dies mal getan. EDIT: Die (leeren) Ordner sind nach dem Neustart alle wieder vorhanden! Dieser Beitrag wurde am 25.01.2007 um 18:15 Uhr von Tobi-A editiert.
|
|
|
|
|
|
|
25.01.2007, 18:28
Ehrenmitglied
Beiträge: 29434 |
#12
vesuche es mit der killbox
http://virus-protect.org/killbox.html single file oder folder ... ? ----------- oder nutze den Tuneup - shredder - da werden die geloeschten dateien gleich mit ueberschrieben http://virus-protect.org/reinigungstoolsregistry.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.01.2007, 18:30
Member
Themenstarter Beiträge: 38 |
#13
Wie kann es eigentlich sein, dass es sich dabei um Ordner handelt?
Wären es Dateien, wäre dies natürlich fataler, da diese einen Virus enthalten...aber so? |
|
|
|
|
|
|
26.01.2007, 00:11
Ehrenmitglied
Beiträge: 29434 |
#14
ich finde es hoechst eigenartig, dass exe und dll als Ordner angegeben werden.
loesche alles, egal wie __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
26.01.2007, 12:18
Member
Themenstarter Beiträge: 38 |
#15
Der Ordner trägt halt, aus welchem Grund auch immer, diese Namen.
Normalerweise wäre mein PC ja ziemlich versäucht, wenn es alles "normale" Dateien wären. Kann man sowas nicht sogar als "Schutz" ansehen? Oder könnte ein Virus ganz einfach diese Ordnernamen überschreiben? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
nachdem vorhin im Firefox plötzlich ein PopUp vom "System Doctor" kam, habe ich direkt einmal mein System gescannt.
eScan AntiVirus hat bei seinem ersten Durchlauf auch direkt 3 Trojaner, u.a. medload und titanshield gefunden, sowie massenhaft "Unbekannte Dateien" die aus der Registrierung gelöscht wurden.
Beim 2. Scan traten nur noch folgende Fehler auf:
Tue Jan 23 21:10:13 2007 => ***** Scanne Dienste *****
Tue Jan 23 21:10:13 2007 => Scanning HKLM\SYSTEM\CurrentControlSet\Services
Tue Jan 23 21:10:29 2007 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\Tobi\LOKALE~1\Temp\sony_ssm.sys. Removing SYSTEM\CurrentControlSet\Services\sony_ssm.sys...
Tue Jan 23 21:10:29 2007 => ERROR!!! ScanFile Fails...
Tue Jan 23 21:10:30 2007 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Hier meine Hijackthis log:
Logfile of HijackThis v1.99.1
Scan saved at 21:26, on 07-01-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\runservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Dokumente und Einstellungen\Tobi\Desktop\K9.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
D:\Programme\Nokia\PC Suite for N-Gage QD\connmngmntbox.exe
C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Outlook Express\msimn.exe
D:\downloads\hthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rot-blau.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ppmate] D:\Programme\PPMate\PPMate\ppmate.exe -autoplay
O4 - HKCU\..\Run: [K9] C:\\Dokumente und Einstellungen\\Tobi\\Desktop\\K9.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: PCSuiteForNokiaN-Gage QD Detect.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Senden an &Bluetooth - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15012/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121170656156
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15012/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB42A37E-AAF9-4792-A31E-C3130876A971}: NameServer = 217.237.148.70 217.237.149.142
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Womit sollte ich mein System noch scannen? Sind die Viren/Trojaner jetzt entfernt?
Frage mich sowieso, woher die Viren (wurden beim ersten Scan mit eScan auch gefunden, nur irgendwie fehlt davon die Log Datei!?) kommen...hatte allerdings in der letzten Zeit auch häufiger einen Bluescreen und der PC lief/läuft recht langsam.
Danke für eure Hilfe!
Viele Grüße
Tobi