Home » Viren, Trojaner & Malware Forum » Bin befallen von: [TR/Agent.446976] und [TR/Obfuscated.BL :-( » Themenansicht
Bin befallen von: [TR/Agent.446976] und [TR/Obfuscated.BL :-( |
||
|---|---|---|
| #0
| ||
|
27.01.2007, 18:20
...neu hier
Beiträge: 8 |
||
 
|
|
|
|
27.01.2007, 22:09
Ehrenmitglied
 Beiträge: 29434 |
#2
Avenger
http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat registry keys to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten «« öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O4 - HKCU\..\Run: [IMC] C:\Programme\FriendFinder\FriendFinder Messenger 30\imc.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.01.2007, 12:29
...neu hier
Themenstarter Beiträge: 8 |
#3
Vielen Dank! Habe ich gemacht. Soll ich nochmal die logs posten???
Hatte error log! ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Fatal error: could not create new script file. Error code: 0 Error logged to errorlog.txt. Aborting now! MfG endos Dieser Beitrag wurde am 28.01.2007 um 12:40 Uhr von endos editiert.
|
|
|
|
|
|
|
28.01.2007, 15:07
Ehrenmitglied
Beiträge: 29434 |
#4
wahrscheinlich hast du zitat mit reinkopiert - oder nicht das richtige angehakt
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.01.2007, 20:27
...neu hier
Themenstarter Beiträge: 8 |
#5
Zitat habe ich natürlich weggelassen.
ich habe nur den rest ohne das zitat kopiert und eingefügt. Danach grüne ampel und dann kamen paar error fenster mit error code 0 usw. und danach hat der rechner neu gestartet. Sind da die fiesen angreifer jetzt weg oder noch nicht? MfG endos ;-) |
|
|
|
|
|
|
28.01.2007, 20:31
Ehrenmitglied
Beiträge: 29434 |
#6
hast du Input script manually angehakt und dort das script reinkopiert?
mache es noch mal und poste nach neustart das log vom avenger __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.01.2007, 20:43
...neu hier
Themenstarter Beiträge: 8 |
#7
Ja hab alles so gemacht wie beschrieben.
Hier der log: Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\nyiyhwap ******************* Script file located at: hu^pbycy Could not open script file! Error Could not open script file! Status: 0xc000003b Abort! |
|
|
|
|
|
|
28.01.2007, 21:38
Ehrenmitglied
Beiträge: 29434 |
#8
deaktiviere den
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe und versuche es noch mal mit dem avenger __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.01.2007, 22:21
...neu hier
Themenstarter Beiträge: 8 |
#9
Hab ihn deaktiviert und hier ist der log:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\tqnjyrmh ******************* Script file located at: \??\C:\ffyupctu.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\tasks\AB20FCB7916F7BF3.job not found! Deletion of file C:\WINDOWS\tasks\AB20FCB7916F7BF3.job failed! Could not process line: C:\WINDOWS\tasks\AB20FCB7916F7BF3.job Status: 0xc0000034 Folder C:\Programme\BitDownload not found! Deletion of folder C:\Programme\BitDownload failed! Could not process line: C:\Programme\BitDownload Status: 0xc0000034 Folder C:\My Downloads not found! Deletion of folder C:\My Downloads failed! Could not process line: C:\My Downloads Status: 0xc0000034 Folder C:\Dokumente und Einstellungen\Christian u. Claudia\Anwendungsdaten\BitDownload not found! Deletion of folder C:\Dokumente und Einstellungen\Christian u. Claudia\Anwendungsdaten\BitDownload failed! Could not process line: C:\Dokumente und Einstellungen\Christian u. Claudia\Anwendungsdaten\BitDownload Status: 0xc0000034 Folder C:\Programme\FriendFinder not found! Deletion of folder C:\Programme\FriendFinder failed! Could not process line: C:\Programme\FriendFinder Status: 0xc0000034 Folder C:\Dokumente und Einstellungen\Christian u. Claudia\Anwendungsdaten\antiblahsafe not found! Deletion of folder C:\Dokumente und Einstellungen\Christian u. Claudia\Anwendungsdaten\antiblahsafe failed! Could not process line: C:\Dokumente und Einstellungen\Christian u. Claudia\Anwendungsdaten\antiblahsafe Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\siteadmin not found! Deletion of registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\siteadmin failed! Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. Hoffe das hilft jetzt weiter. Vielen Dank schonmal! :-) |
|
|
|
|
|
|
28.01.2007, 23:40
Ehrenmitglied
Beiträge: 29434 |
#10
fein
 alles geloescht nun scanne mit counyterspy, stelle nach dem scan alles auf remove und poste den scanreport http://virus-protect.org/counterspy.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
29.01.2007, 15:20
...neu hier
Themenstarter Beiträge: 8 |
#11
Habe mit counterspy gescannt.
Musste aber nichts auf remove stellen. Stattdessen gab es nichts zu finden. Also das heißt, dass ich davon ausgehen kann, dass alles von meinem system runter ist? Hier der log: Spyware Scan Details Start Date: 07-01-29 14:09:04 End Date: 07-01-29 14:51:51 Total Time: 42 mins 47 secs Detected spyware No spyware were found during this scan. MfG endos Dieser Beitrag wurde am 29.01.2007 um 15:24 Uhr von endos editiert.
|
|
|
|
|
|
|
29.01.2007, 16:14
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
29.01.2007, 16:18
...neu hier
Themenstarter Beiträge: 8 |
#13
Hier der log vom HijackThis:
Logfile of HijackThis v1.99.1 Scan saved at 16:17, on 07-01-29 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Dell\Media Experience\PCMService.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\MP3Dancer\MP3Dancer.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe C:\Programme\0900 Warner\w0svc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Christian u. Claudia\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\Media Experience\PCMService.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKCU\..\RunOnce: [Netscape] C:\Programme\Mozilla Firefox\firefox.exe -installer O4 - Startup: MP3 Dancer.lnk = C:\Programme\MP3Dancer\MP3Dancer.exe O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\GEARSEC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe MfG endos |
|
|
|
|
|
|
30.01.2007, 01:04
Ehrenmitglied
Beiträge: 29434 |
#14
so einen sauberen Rechner haette ich auch gern
 gibt es noch Probleme ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
01.02.2007, 19:08
...neu hier
Themenstarter Beiträge: 8 |
#15
Vielen Dank das die Schädlinge dank deiner
Hilfe jetzt weg sind. :-) Hab aber noch ein kleines anliegen an dich! Mein Rechner ist in letzter zeit irgendwie langsamer als sonst. Danke schonmal für die Hilfe. MfG endos |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Hab mich infiziert mit TR/Obfuscated.BL und TR/Agent.446976 und brauche dringend rat was ich machen kann!
Hoffe einer von euch versteht was davon...
Ich danke euch schonmal im vorraus! ;-)
Logfile of HijackThis v1.99.1
Scan saved at 18:12:57, on 27.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Dell\Media Experience\PCMService.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Steganos AntiSpyware 7\aspy7.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\0900 Warner\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\GEARSEC.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\CounterSpy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nero\Nero 7\Nero StartSmart\NeroStartSmart.exe
C:\Programme\Nero\Nero 7\Core\nero.exe
C:\Programme\Nero\Nero 7\Core\nero.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Christian u. Claudia\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu1\toolbaru.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IMC] C:\Programme\FriendFinder\FriendFinder Messenger 30\imc.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - HKCU\..\Run: [siteadmin] C:\DOKUME~1\CHRIST~1.CLA\ANWEND~1\ANTIBL~1\intergrim.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{70A90BF3-8757-438B-A12A-149ACECD4E8C}: NameServer = 192.168.2.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\GEARSEC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
Combofix:
"Christian u. Claudia" - 07-01-27 20:15:14 Service Pack 2
ComboFix 07-01-25 - Running from: "C:\Dokumente und Einstellungen\Christian u. Claudia\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2006-12-27 to 2007-01-27 ))))))))))))))))))))))))))))))))))
2007-01-27 11:25 <DIR> d-------- C:\Avenger
2007-01-21 00:30 <DIR> d-------- C:\Programme\FriendFinder
2007-01-20 23:52 <DIR> d-------- C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\antiblahsafe
2007-01-20 23:27 <DIR> d-------- C:\Programme\Sunbelt Software
2007-01-20 23:26 <DIR> d-------- C:\Programme\Lavasoft
2007-01-20 23:26 <DIR> d-------- C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\Lavasoft
2007-01-20 14:28 <DIR> d-------- C:\Programme\BitDownload
2007-01-20 14:28 <DIR> d-------- C:\My Downloads
2007-01-20 14:28 <DIR> d-------- C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\BitDownload
2007-01-11 12:20 <DIR> d-------- C:\WINDOWS\ie7updates
2007-01-10 14:03 <DIR> d-------- C:\GTR2
2007-01-07 21:44 <DIR> d-------- C:\Programme\EA Games
2007-01-07 13:51 <DIR> d-------- C:\Programme\SlySoft
2007-01-06 21:17 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-01-06 21:17 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-01-05 09:44 <DIR> d-------- C:\Programme\Security Task Manager
2007-01-05 09:44 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\SecTaskMan
2007-01-04 20:22 <DIR> d-------- C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\Steganos AntiSpyware 7
2007-01-04 20:21 <DIR> d-------- C:\Programme\Pest Patrol
2007-01-01 15:54 <DIR> d-------- C:\DOKUME~1\CHRIST~1.CLA\Profiles
2007-01-01 15:16 <DIR> d-------- C:\Programme\Anno 1701
2007-01-01 13:40 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-01-01 13:37 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-01-01 13:37 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen
2007-01-01 13:37 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-01-01 13:37 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-01-01 13:37 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-01-01 13:37 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-01-01 13:37 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2006-12-27 20:58 5,632 --a------ C:\WINDOWS\system32\Machnm64.sys
2006-12-27 20:58 2,304 --a------ C:\WINDOWS\system32\Machnm32.sys
2006-12-27 20:58 15,840 --a------ C:\WINDOWS\system32\Machnm1.exe
2006-12-27 20:58 <DIR> d-------- C:\Programme\Defenza
2006-12-27 20:12 <DIR> d-------- C:\Programme\RegCleaner
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-01-27 20:14 -------- d-------- C:\Programme\mozilla firefox
2007-01-26 14:54 -------- d-------- C:\Programme\antivir personaledition classic
2007-01-25 15:05 -------- d-------- C:\Programme\windows media connect 2
2007-01-24 15:55 -------- d-------- C:\Programme\emule
2007-01-21 00:30 -------- d---s---- C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\microsoft
2007-01-18 16:28 -------- d-------- C:\Programme\kaspersky lab
2007-01-15 18:54 34688 --a------ C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\gdipfontcachev1.dat
2007-01-09 11:03 -------- d--h----- C:\Programme\installshield installation information
2007-01-06 20:54 -------- d-------- C:\Programme\billp studios
2007-01-04 20:22 -------- d-------- C:\Programme\steganos antispyware 7
2006-12-31 16:13 -------- d-------- C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\apple computer
2006-12-26 22:38 -------- d-------- C:\Programme\mozilla thunderbird
2006-12-26 21:48 -------- d-------- C:\Programme\java
2006-12-26 13:54 34760 --a------ C:\WINDOWS\system32\drivers\ElbyCDFL.sys
2006-12-26 13:54 15440 --a------ C:\WINDOWS\system32\drivers\ElbyCDIO.sys
2006-12-18 11:46 -------- d-------- C:\DOKUME~1\CHRIST~1.CLA\Anwendungsdaten\divx
2006-12-18 11:45 -------- d-------- C:\Programme\divx
2006-12-16 22:10 -------- d-------- C:\Programme\winamp
2006-12-13 21:24 89296 --a------ C:\WINDOWS\system32\elbycdio.dll
2006-12-12 17:30 520192 --a------ C:\WINDOWS\system32\divxsm.exe
2006-12-12 17:30 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2006-12-12 17:30 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2006-12-12 17:30 109568 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-12-12 17:30 108544 --------- C:\WINDOWS\system32\pxcpyi64.exe
2006-12-12 17:30 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2006-12-12 17:25 806912 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-12-12 17:25 806912 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-12-12 17:25 790528 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-12-12 17:25 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2006-12-12 17:25 635486 --a------ C:\WINDOWS\system32\divx.dll
2006-12-12 17:25 593920 --a------ C:\WINDOWS\system32\dpugui11.dll
2006-12-12 17:25 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2006-12-12 17:25 53248 --a------ C:\WINDOWS\system32\dpugui10.dll
2006-12-12 17:25 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2006-12-12 17:25 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2006-12-12 17:25 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2006-12-12 17:25 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2006-12-12 17:24 12288 --a------ C:\WINDOWS\system32\divxwmpexttype.dll
2006-12-12 17:24 118784 --a------ C:\WINDOWS\system32\divxcodecupdatechecker.exe
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-12-02 17:33 -------- d-------- C:\Programme\itunes
2006-12-02 17:33 -------- d-------- C:\Programme\ipod
2006-12-02 13:41 -------- d-------- C:\Programme\quicktime
2006-12-02 13:40 -------- d-------- C:\Programme\apple software update
2006-11-29 17:00 98304 --a------ C:\WINDOWS\system32\cmdlineext.dll
2006-11-29 16:59 -------- d-------- C:\Programme\gothic iii
2006-11-28 21:01 -------- d-------- C:\Programme\vstep
2006-11-28 20:51 -------- d-------- C:\Programme\Gemeinsame Dateien\mapserv
2006-11-28 20:51 -------- d-------- C:\Programme\Gemeinsame Dateien\adobe
2006-11-28 20:51 -------- d-------- C:\Programme\adac routenplaner
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll
2006-11-02 11:51 43008 --------- C:\WINDOWS\system32\wpdshextres.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"IMC"="C:\\Programme\\FriendFinder\\FriendFinder Messenger 30\\imc.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"AntiSpyware7"="\"C:\\Programme\\Steganos AntiSpyware 7\\aspy7.exe\" /0"
"siteadmin"="C:\\DOKUME~1\\CHRIST~1.CLA\\ANWEND~1\\ANTIBL~1\\intergrim.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"0900 Warner"="C:\\PROGRA~1\\0900WA~1\\WARN0900.EXE"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"PCMService"="\"C:\\Programme\\Dell\\Media Experience\\PCMService.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunServer"="C:\\Programme\\Sunbelt Software\\CounterSpy\\Consumer\\sunserver.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Christian u. Claudia^Startmenü^Programme^Autostart^Registration Ghost Recon Advanced Warfighter.LNK]
"path"="C:\\Dokumente und Einstellungen\\Christian u. Claudia\\Startmenü\\Programme\\Autostart\\Registration Ghost Recon Advanced Warfighter.LNK"
"backup"="C:\\WINDOWS\\pss\\Registration Ghost Recon Advanced Warfighter.LNKStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Ubisoft\\Demo\\GHOSTR~1\\Support\\Register\\REGIST~1.EXE -d 802661 -l english -r 7 -g Ghost Recon Advanced Warfighter -c us -i 2591"
"item"="Registration Ghost Recon Advanced Warfighter"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="C:\\Programme\\iTunes\\iTunesHelper.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\siteadmin]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="intergrim"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\CHRIST~1.CLA\\ANWEND~1\\ANTIBL~1\\intergrim.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinPatrol]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winpatrol"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\BILLPS~1\\WINPAT~1\\winpatrol.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AB20FCB7916F7BF3.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
Completion time: 07-01-27 20:18:00