Wieder ".tmp.exe."-Files in den Temp-Ordnern... |
||
---|---|---|
#0
| ||
28.01.2007, 13:26
Member
Beiträge: 13 |
||
|
||
28.01.2007, 13:45
Moderator
Beiträge: 7805 |
#2
Dein Rechner ist total verseucht, da hilft nur neu Aufsetzen. Alle deine Passworte wurden geklaut und sollten auch ersetzt werden.
Hier ein Beispiel: 22.01.2007 12:31 77.016 ipv6monk.dll < Boeser "Passwortklauer/Formgrabber" 22.01.2007 12:30 37.787 info.txt < Enthaelt wahrscheinlich auch geklaute Informationen 22.01.2007 12:25 63.152 form.txt < In der Datei steht einiges von dem, was geklaut wurde. Schaus dir an und grussel dich! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.01.2007, 15:06
Member
Themenstarter Beiträge: 13 |
#3
Gut, hab diese 3 Dateien jetzt in die NORTON-Quarantäne gesteckt; Kamen auch einige hässliche Trojan.Dialer und so raus... Und meine PWs waren tatsächlich in der Info.txt-Datei, wer hätte das gedacht!
Vielen vielen Dank bis jetzt, raman! |
|
|
||
28.01.2007, 15:10
Moderator
Beiträge: 7805 |
#4
Da gibts von meiner Seite nichts mehr. Setz den Rechner neu auf, der ist total verseucht und wer weiss, ob wir alle Dateien und vor allem alle Veraenderungen im System(Registrierung u.a. Einstellungen) finden wuerden.
Daten(!) sichern, Festplatte Formatieren und auf ein neues...... http://board.protecus.de/t13020.htm Denke daran, das jemand mit deinen Daten und Passworte schon hausieren gehen kann! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
28.01.2007, 15:22
Member
Themenstarter Beiträge: 13 |
#5
Oh nein...^^
Ganz neu aufsetzten?? Und wie weiß ich, dass ich auch wirklich alle Dateien gesichert habe, die ich nicht oder nur schwer wieder beschaffen kann? Ich glaube, das schaffe ich nicht... |
|
|
||
28.01.2007, 15:26
Moderator
Beiträge: 7805 |
#6
Ich kann dir leider keine Antwort geben, auser "du musst". Wenn du die Moeglichkeit hasst, sichere die ganze Partition mit Norton Gost oder Acronis True Image, dann hast du dein gesamtes System noch im Image.
Im Zweifelsfalle frage jemanden im Bekanntenkrei, der dir hilft. Man kann viel dabei lernen..... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.02.2007, 00:06
Ehrenmitglied
Beiträge: 29434 |
#7
Zitat Als du mir geholfen hast, liefs ja wieder; ich darf nur nie wieder dubiose Links öffnen.-------------------------------------------------------------------------- 1. LSPfix http://www.spychecker.com/program/lspfix.html - hake an: "I know what Im doing" -- Remove - und lösche die newdotnet7_22.dll (eventuell musst du die dll von links nach rechts bringen) + Remove 2. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. . Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT43. scanne mit vundofix http://virus-protect.org/artikel/tools/vundofixx.html 4. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Registry values to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten 5. SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag 6. poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.02.2007, 14:04
Member
Themenstarter Beiträge: 13 |
#8
Vielen Dank für die erneute Hilfe, Sabina!
Hier der Log-File von SDFix: SDFix: Version 1.63 02.02.2007 - 13:38:43,93 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\Temp\win100.tmp.exe - Deleted C:\WINDOWS\Temp\win106.tmp.exe - Deleted C:\WINDOWS\Temp\win181.tmp.exe - Deleted C:\WINDOWS\Temp\win189.tmp.exe - Deleted C:\WINDOWS\Temp\win18F.tmp.exe - Deleted C:\WINDOWS\Temp\win1A7.tmp.exe - Deleted C:\WINDOWS\Temp\win1AD.tmp.exe - Deleted C:\WINDOWS\Temp\win1E7.tmp.exe - Deleted C:\WINDOWS\Temp\win1EA.tmp.exe - Deleted C:\WINDOWS\Temp\win1F0.tmp.exe - Deleted C:\WINDOWS\Temp\win1F7.tmp.exe - Deleted C:\WINDOWS\Temp\win1FA.tmp.exe - Deleted C:\WINDOWS\Temp\win200.tmp.exe - Deleted C:\WINDOWS\Temp\win20E.tmp.exe - Deleted C:\WINDOWS\Temp\win22.tmp.exe - Deleted C:\WINDOWS\Temp\win22A.tmp.exe - Deleted C:\WINDOWS\Temp\win22B.tmp.exe - Deleted C:\WINDOWS\Temp\win22C.tmp.exe - Deleted C:\WINDOWS\Temp\win26.tmp.exe - Deleted C:\WINDOWS\Temp\win27.tmp.exe - Deleted C:\WINDOWS\Temp\win28C.tmp.exe - Deleted C:\WINDOWS\Temp\win28E.tmp.exe - Deleted C:\WINDOWS\Temp\win297.tmp.exe - Deleted C:\WINDOWS\Temp\win2AB.tmp.exe - Deleted C:\WINDOWS\Temp\win2BB.tmp.exe - Deleted C:\WINDOWS\Temp\win2E0.tmp.exe - Deleted C:\WINDOWS\Temp\win2E1.tmp.exe - Deleted C:\WINDOWS\Temp\win2F5.tmp.exe - Deleted C:\WINDOWS\Temp\win319.tmp.exe - Deleted C:\WINDOWS\Temp\win364.tmp.exe - Deleted C:\WINDOWS\Temp\win36D.tmp.exe - Deleted C:\WINDOWS\Temp\win4B.tmp.exe - Deleted C:\WINDOWS\Temp\win59.tmp.exe - Deleted C:\WINDOWS\Temp\win5D.tmp.exe - Deleted C:\WINDOWS\Temp\win61.tmp.exe - Deleted C:\WINDOWS\Temp\win62.tmp.exe - Deleted C:\WINDOWS\Temp\win64.tmp.exe - Deleted C:\WINDOWS\Temp\win65.tmp.exe - Deleted C:\WINDOWS\Temp\win7A.tmp.exe - Deleted C:\WINDOWS\Temp\win86.tmp.exe - Deleted C:\WINDOWS\Temp\win99.tmp.exe - Deleted C:\WINDOWS\Temp\winDD.tmp.exe - Deleted C:\WINDOWS\Temp\winDF.tmp.exe - Deleted C:\WINDOWS\Temp\winE3.tmp.exe - Deleted C:\WINDOWS\Temp\winEC.tmp.exe - Deleted C:\WINDOWS\Temp\winF0.tmp.exe - Deleted C:\WINDOWS\Temp\winF5.tmp.exe - Deleted C:\WINDOWS\system32\plugin1.dat - Deleted C:\WINDOWS\system32\SysPr.prx - Deleted C:\WINDOWS\Temp\removalfile.bat - Deleted C:\WINDOWS\Temp\win*.tmp - Deleted ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" "C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0" "C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Kelis\??????www.9tt.cn www.qq6.com\AlbumArtSmall.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Kelis\??????www.9tt.cn www.qq6.com\AlbumArt_{ED988241-B9B1-458B-88AE-355F0D2BA425}_Large.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Kelis\??????www.9tt.cn www.qq6.com\AlbumArt_{ED988241-B9B1-458B-88AE-355F0D2BA425}_Small.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Kelis\??????www.9tt.cn www.qq6.com\desktop.ini C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Kelis\??????www.9tt.cn www.qq6.com\Folder.jpg C:\Corel\Graphics8\Programs\CNSFlt80.dll C:\MINIGAMES\Blast Thru Special Edition\WCSUP.DLL C:\Programme\MSN\g.w.exe data.avi C:\Programme\Outlook Express\msimn.exe C:\hiberfil.sys C:\Programme\Common Files\X10\Common\x10prod.sys C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Anwendungsdaten\Microsoft\Office\Shortcut Bar\Off1.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Anwendungsdaten\Microsoft\Vorlagen\~WRL1749.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Anwendungsdaten\Microsoft\Word\~WRL2369.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\D-alt\Eigene Dateien\~WRL1213.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Dittsche_ 03.09.06 (Wdh.) _ Dittsche.tmp\AlbumArtSmall.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Dittsche_ 03.09.06 (Wdh.) _ Dittsche.tmp\Folder.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Dittsche_ 10.09.06 (Wdh.) _ Dittsche.tmp\AlbumArtSmall.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Dittsche_ 10.09.06 (Wdh.) _ Dittsche.tmp\Folder.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Dittsche_ 28.05.06 _ Dittsche - Podc.tmp\AlbumArtSmall.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Dittsche_ 28.05.06 _ Dittsche - Podc.tmp\Folder.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Let's Speak Italian Podcast Update _.tmp\AlbumArtSmall.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Eigene Musik\Christian\ITunes-In\Downloads\Podcasts\Let's Speak Italian Podcast Update _.tmp\Folder.jpg C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL0004.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL0101.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL0534.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL0758.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL0874.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL1725.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL1849.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL3290.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Praktikum Pathologie Mainz\~WRL3301.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Privat\~WRL0001.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Privat\~WRL0003.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Privat\~WRL0049.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Privat\~WRL0315.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Privat\~WRL1564.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Privat\~WRL3182.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Schule\~WRL0372.tmp C:\Dokumente und Einstellungen\Christian Reinbold\Eigene Dateien\Schule\~WRL0421.tmp C:\WINDOWS\system32\bbadd.tmp C:\WINDOWS\system32\cdeeg.tmp C:\WINDOWS\system32\ehkmp.tmp C:\WINDOWS\system32\jlnmp.tmp C:\WINDOWS\system32\mmllm.tmp C:\WINDOWS\system32\config\default.tmp.LOG C:\WINDOWS\system32\config\software.tmp.LOG C:\WINDOWS\system32\config\system.tmp.LOG Finished Und die Logfiles von datfind.bat Zitat Datentr„ger in Laufwerk C: ist BOOT |
|
|
||
02.02.2007, 16:16
Ehrenmitglied
Beiträge: 29434 |
#9
Avenger
Zitat Registry values to delete:kopiere hier das log vom avenger nach neustart (es wird erscheinen) + noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 11:18
Member
Themenstarter Beiträge: 13 |
#10
AVENGER
Zitat Logfile of The Avenger version 1, by Swandog46DATFIND.BAT Zitat Datentr„ger in Laufwerk C: ist BOOT |
|
|
||
03.02.2007, 16:42
Ehrenmitglied
Beiträge: 29434 |
#11
1.
Avenger Zitat Registry key2. Klicke: Start -Ausführen- schreib rein: cmd dann kopiere in das schwarze DOS-Fenster: del %windir%\temp\*.* /f klicke "enter" schreibe Y --------------------------------------------------- 3. Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung - Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. - Click:Temporäre Dateien, o.k 4. poste noch mal die 6 logs von datfindbat __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 18:21
Member
Themenstarter Beiträge: 13 |
#12
Gut, hab das bis jetzt alles gemacht
Und hier die Logs von Datfind.bat: Zitat Datentr„ger in Laufwerk C: ist BOOTVielen Dank für die liebe Hilfe! Übrigens hab ich grad nochma nach ".tmp.exe" in der normalen Windows-Suche gesucht; Da kamen dann ganz viele Files. Erstens im Ordner backups mit der Endung ".tmp.exe", wenige von denen im Ordner "avenger" und noch welche im Dateipfad "C:/Windows/Prefetch" mit der Endung ".pf" (nach dem Schema WINXX.TMP.EXE-YYYYYYYY.pf). Sollte ich mit denen etwas anfangen? Löschen zum Beispiel?? Dieser Beitrag wurde am 03.02.2007 um 18:40 Uhr von Christian_XO editiert.
|
|
|
||
03.02.2007, 19:12
Ehrenmitglied
Beiträge: 29434 |
#13
««
WINXX.TMP - alle loeschen ! (auch in C:/Windows/Prefetch ) - und das backup vom avenger auch komplett loeschen «« Avenger Zitat Registry key»» scanne und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
03.02.2007, 22:10
Member
Themenstarter Beiträge: 13 |
#14
AVENGER
Zitat Logfile of The Avenger version 1, by Swandog46 |
|
|
||
03.02.2007, 22:17
Ehrenmitglied
Beiträge: 29434 |
#15
Avenger
Zitat Registry keyscanne und poste den scanreport http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich sollte keine dubiosen Keygens mehr runterladen, schätze ich...
Tut mir Leid, wenn ich euch wieder damit störe, aber bitte helft mir noch ein Mal.
Vielen Dank im Voraus!
Hier die Logs:
HIJACKTHIS-File
Logfile of HijackThis v1.99.1
Scan saved at 12:31:24, on 28.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Firefox\firefox.exe
C:\WINDOWS\TEMP\win179.tmp.exe
C:\unzipped\hijackthis\HijackThis.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Windows Media Player\setup_wm.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://securityresponse.symantec.com/avcenter/fix_homepage/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://securityresponse.symantec.com/avcenter/fix_homepage/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton
AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works
Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator6\CheckNewUser.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto
Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter
Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\TEMP\win179.tmp.exe
O4 - HKCU\..\Run: [dm2launcher.exe] "C:\PROGRA~1\DESKTO~1.0\dm2launcher.exe" -start
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\System32\iexplore.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus
154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} -
C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} -
C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
(file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network
Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing)
(HKCU)
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet7_22.dll' missing
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab
O16 - DPF: Yahoo! Dots - http://download.games.yahoo.com/games/clients/y/dtt1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Track-Tanke Music Manager) -
http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) -
http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} -
C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -
C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation -
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame
Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame
Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame
Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia
Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton
AntiVirus\navapsvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton
AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame
Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame
Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec
Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony
Shared\AVLib\Sptisrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec
Shared\CCPD-LC\symlcsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
COMBOFIX
"Christian Reinbold" - 07-01-28 12:51:59 Service Pack 2
ComboFix 07-01-25 - Running from: "C:\Dokumente und Einstellungen\Christian Reinbold\Desktop"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\ipv6monl.dll
((((((((((((((((((((((((((((((( Files Created from 2006-12-28 to 2007-01-28 ))))))))))))))))))))))))))))))))))
2007-01-28 12:17 475,170 ---hs---- C:\WINDOWS\system32\yybeg.bak1
2007-01-28 12:17 22,029 ---hs---- C:\WINDOWS\system32\nnnkkig.dll
2007-01-28 12:16 277,065 --------- C:\WINDOWS\system32\gebyy.dll
2007-01-27 17:28 475,170 ---hs---- C:\WINDOWS\system32\qrqss.bak1
2007-01-27 17:26 22,029 ---hs---- C:\WINDOWS\system32\wvuusrp.dll
2007-01-27 12:13 475,170 ---hs---- C:\WINDOWS\system32\rqtwa.bak1
2007-01-27 12:09 22,029 ---hs---- C:\WINDOWS\system32\awtqnlk.dll
2007-01-26 19:46 22,029 ---hs---- C:\WINDOWS\system32\nnnommj.dll
2007-01-26 19:26 475,170 ---hs---- C:\WINDOWS\system32\fhkmp.bak1
2007-01-26 16:20 475,259 ---hs---- C:\WINDOWS\system32\abadd.bak1
2007-01-26 16:18 22,029 ---hs---- C:\WINDOWS\system32\hggefdd.dll
2007-01-26 14:03 475,170 ---hs---- C:\WINDOWS\system32\cfhkj.bak1
2007-01-26 14:01 22,029 ---hs---- C:\WINDOWS\system32\xxywwtq.dll
2007-01-25 23:00 22,029 ---hs---- C:\WINDOWS\system32\jkklklk.dll
2007-01-25 21:22 481,538 ---hs---- C:\WINDOWS\system32\cdeeg.ini2
2007-01-25 21:17 475,170 ---hs---- C:\WINDOWS\system32\cdeeg.bak1
2007-01-25 13:36 22,029 ---hs---- C:\WINDOWS\system32\pmnnljk.dll
2007-01-25 13:28 475,170 ---hs---- C:\WINDOWS\system32\gjkmp.bak1
2007-01-24 22:53 499,706 ---hs---- C:\WINDOWS\system32\ehkmp.ini2
2007-01-24 22:44 8,704 --a------ C:\WINDOWS\system32\v6.exe
2007-01-24 22:43 22,029 ---hs---- C:\WINDOWS\system32\mljijhg.dll
2007-01-24 22:38 475,170 ---hs---- C:\WINDOWS\system32\ehkmp.bak1
2007-01-24 13:22 475,170 ---hs---- C:\WINDOWS\system32\nqtwa.bak1
2007-01-24 13:19 22,029 ---hs---- C:\WINDOWS\system32\ljjihff.dll
2007-01-23 13:50 22,029 ---hs---- C:\WINDOWS\system32\efcdebc.dll
2007-01-22 11:11 22,029 ---hs---- C:\WINDOWS\system32\wvuvspp.dll
2007-01-22 11:10 <DIR> d-------- C:\Programme\Firefox
2007-01-21 18:03 91,352 --a------ C:\WINDOWS\installer3.5.6.exe
2007-01-21 18:03 77,016 --a------ C:\WINDOWS\system32\ipv6monk.dll
2007-01-21 17:15 22,029 ---hs---- C:\WINDOWS\system32\qomkjij.dll
2007-01-21 17:15 19,456 --a------ C:\WINDOWS\system32\winmbj32.dll
2007-01-21 17:14 91,352 --a------ C:\jqyn.exe
2007-01-21 17:14 1,024 --a------ C:\xcdecs.exe
2007-01-21 17:14 1,024 --a------ C:\utomds.exe
2007-01-21 17:14 1,024 --a------ C:\nvix.exe
2007-01-21 17:14 1,024 --a------ C:\jxvf.exe
2007-01-21 17:09 <DIR> d-------- C:\Programme\New River Kinematics
2007-01-17 13:21 <DIR> d-------- C:\Programme\GameSpy Arcade
2007-01-14 12:29 346,624 --a------ C:\WINDOWS\system32\mspaint.exe
2007-01-14 12:29 0 --a------ C:\WINDOWS\ORUN32.EXE
2007-01-14 12:28 0 --a------ C:\WINDOWS\system32\CMMGR32.EXE
2007-01-14 12:19 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-01-14 12:19 <DIR> d-------- C:\DOKUME~1\CHRIST~1\Anwendungsdaten\SUPERAntiSpyware.com
2007-01-14 12:12 <DIR> d-------- C:\avenger
2007-01-14 00:48 <DIR> d-------- C:\VundoFix Backups
2007-01-12 16:33 <DIR> d-------- C:\Programme\Pool 'm Up
2007-01-12 10:28 <DIR> d-------- C:\Programme\DVD2one V2
2007-01-05 15:58 <DIR> d-------- C:\Programme\Line Rider
2007-01-01 21:51 <DIR> d-------- C:\Programme\Activision
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-01-28 12:35 -------- d-------- C:\Programme\getright
2007-01-27 19:14 -------- d-------- C:\Programme\quicktime
2007-01-27 17:50 -------- d-------- C:\Programme\windows nt
2007-01-25 21:18 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-01-22 11:40 -------- d-------- C:\Programme\mozilla firefox
2007-01-21 17:54 -------- d-------- C:\Programme\bittorrent
2007-01-17 20:30 -------- d-------- C:\Programme\evillyrics
2007-01-14 12:29 -------- d-------- C:\Programme\napster
2007-01-14 12:18 -------- d-------- C:\Programme\Gemeinsame Dateien\wise installation wizard
2007-01-08 21:50 -------- d-------- C:\Programme\maelstrom
2007-01-07 13:05 -------- d-------- C:\Programme\Gemeinsame Dateien\adobe
2007-01-06 11:42 -------- d-------- C:\DOKUME~1\CHRIST~1\Anwendungsdaten\adobeum
2006-12-27 23:32 -------- d-------- C:\Programme\msn messenger
2006-12-22 09:35 -------- d-------- C:\Programme\norton antivirus
2006-12-22 03:06 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll
2006-12-22 03:06 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-12-22 03:06 -------- d-------- C:\Programme\symantec
2006-12-19 16:30 -------- d-------- C:\DOKUME~1\CHRIST~1\Anwendungsdaten\bittorrent
2006-12-12 15:13 -------- d-------- C:\Programme\anydvd
2006-12-11 16:26 -------- d-------- C:\Programme\divx
2006-11-29 16:19 -------- d--h----- C:\Programme\installshield installation information
2006-11-29 16:19 -------- d-------- C:\Programme\google
2006-11-20 16:02 140872 --a------ C:\DOKUME~1\CHRIST~1\Anwendungsdaten\gdipfontcachev1.dat
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-03 10:02 8282112 --a------ C:\WINDOWS\system32\wmploc.dll
2006-11-03 09:56 99840 --a------ C:\WINDOWS\system32\wmpshell.dll
2006-11-03 09:55 275968 --a------ C:\WINDOWS\system32\wmerror.dll
2006-11-03 09:54 8192 --a------ C:\WINDOWS\system32\asferror.dll
2006-11-02 11:51 43008 --------- C:\WINDOWS\system32\wpdshextres.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"dm2launcher.exe"="\"C:\\PROGRA~1\\DESKTO~1.0\\dm2launcher.exe\" -start"
"Steam"=""
"Creative Detector"="C:\\Programme\\Creative\\MediaSource\\Detector\\CTDetect.exe /R"
"startkey"="C:\\WINDOWS\\System32\\iexplore.exe"
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"tunebite.exe"="C:\\Programme\\tunebite\\tunebite.exe -hidden"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Dit"="Dit.exe"
"VOBRegCheck"="C:\\WINDOWS\\System32\\VOBREGCheck.exe -CheckReg"
"PCMService"="C:\\Programme\\Medion Home CinemaXL\\PowerCinema\\PCMService.exe"
"Microsoft Works Update Detection"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works
Shared\\WkUFind.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\System32\\PSDrvCheck.exe -CheckReg"
"mmtask"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mmtask.exe"
"CheckMedi8or"="C:\\Programme\\Mediator6\\CheckNewUser.exe"
"LVCOMSX"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"SoundMan"="SOUNDMAN.EXE"
"ALDI_SUED_FotoSuite_Download"="\"C:\\Programme\\ALDI Sued Foto Service\\ALDI_Foto_Service\\FotoSuite.exe\"
/autorun"
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_09\\bin\\jusched.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"syswin"="C:\\WINDOWS\\TEMP\\win179.tmp.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\DeskBot]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\control panel\load]
"worg"=hex:08,a2,70,7d,7a,76,4f,54,32,27,4a,10,fe,cf,ab,ce,63,0f,34,01,e0
"cmpid"=hex:a4,58,68,ac,28,29,66,77,78,66,52,4a,a9,9a,fc,a4,34,67,72,2b,d2,fa,\
d2,53,02,44,e6,e1,21,0f,b1,83,42,02,bc,88,28,1f,9d,c4,70,d4,a7,0d,a8,de,72,\
e4,34,51,f6,11,a9,cd,50,e2,75,f5,17,a0,51,b9,30,c7,34,b8,37,be
"kyrpa"=hex:6a,6e,6f,6c,62,6f,0a,58,2e,37,0b
"ino"=hex:15,26,db,fb,69
"info_sze"=hex:90,cb,c7,ce,23,2e,17,02,71
"h"=dword:45b4a12f
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""
"{38C68744-466E-4DA0-BD25-4D3603D364CD}"=""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebyy
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qomkjij
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmbj32
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - Christian Reinbold.job
Completion time: 07-01-28 13:03:05
C:\ComboFix2.txt ... 07-01-13 01:05
DATFIND.BAT
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\system32
28.01.2007 13:11 484.785 yybeg.ini
28.01.2007 12:31 505.996 perfh009.dat
28.01.2007 12:31 275.490 perfc009.dat
28.01.2007 12:31 1.048.248 perfh007.dat
28.01.2007 12:31 294.014 perfc007.dat
28.01.2007 12:31 518.096 PerfStringBackup.INI
28.01.2007 12:17 22.029 nnnkkig.dll
28.01.2007 12:17 475.170 yybeg.bak1
28.01.2007 12:17 277.065 gebyy.dll
28.01.2007 02:09 490.614 qrqss.ini
27.01.2007 17:28 475.170 qrqss.bak1
27.01.2007 17:26 22.029 wvuusrp.dll
27.01.2007 13:23 488.901 rqtwa.ini
27.01.2007 12:13 475.170 rqtwa.bak1
27.01.2007 12:09 22.029 awtqnlk.dll
27.01.2007 00:56 486.245 fhkmp.ini
26.01.2007 19:46 22.029 nnnommj.dll
26.01.2007 19:26 475.170 fhkmp.bak1
26.01.2007 17:21 488.212 abadd.ini
26.01.2007 16:20 475.259 abadd.bak1
26.01.2007 16:18 22.029 hggefdd.dll
26.01.2007 15:08 487.423 cfhkj.ini
26.01.2007 14:03 475.170 cfhkj.bak1
26.01.2007 14:01 22.029 xxywwtq.dll
26.01.2007 13:58 2.422 wpa.dbl
25.01.2007 23:50 481.538 cdeeg.ini2
25.01.2007 23:00 22.029 jkklklk.dll
25.01.2007 21:22 475.722 cdeeg.tmp
25.01.2007 21:17 475.170 cdeeg.bak1
25.01.2007 21:09 527.505 gjkmp.ini
25.01.2007 13:36 22.029 pmnnljk.dll
25.01.2007 13:28 475.170 gjkmp.bak1
24.01.2007 23:43 499.706 ehkmp.ini2
24.01.2007 22:44 8.704 v6.exe
24.01.2007 22:43 22.029 mljijhg.dll
24.01.2007 22:41 475.554 ehkmp.tmp
24.01.2007 22:38 475.170 ehkmp.bak1
24.01.2007 17:27 495.900 nqtwa.ini
24.01.2007 13:22 475.170 nqtwa.bak1
24.01.2007 13:20 22.029 ljjihff.dll
23.01.2007 13:50 22.029 efcdebc.dll
22.01.2007 12:31 77.016 ipv6monk.dll
22.01.2007 12:30 37.787 info.txt
22.01.2007 12:25 63.152 form.txt
22.01.2007 11:11 22.029 wvuvspp.dll
21.01.2007 17:15 22.029 qomkjij.dll
21.01.2007 17:15 19.456 winmbj32.dll
14.01.2007 12:28 0 ELALSP
14.01.2007 12:28 0 CMMGR32.EXE
14.01.2007 12:02 454 dsecodno.txt
14.01.2007 10:27 16.832 amcompat.tlb
14.01.2007 10:27 23.392 nscompat.tlb
03.01.2007 00:19 10.980.776 MRT.exe
22.12.2006 03:06 48.776 S32EVNT1.DLL
26.11.2006 09:52 8.891 jupdate-1.5.0_09-b03.log
20.11.2006 22:35 3.145.782 toyhide.bmp
19.11.2006 15:59 446.104 FNTCACHE.DAT
08.11.2006 06:06 679.424 inetcomm.dll
04.11.2006 14:14 1.245.696 msxml4.dll
03.11.2006 10:02 8.282.112 wmploc.dll
03.11.2006 09:56 99.840 wmpshell.dll
03.11.2006 09:55 275.968 wmerror.dll
03.11.2006 09:54 8.192 asferror.dll
02.11.2006 11:51 43.008 wpdshextres.dll
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
28.01.2007 13:04 748 scan0.sca
1 Datei(en) 748 Bytes
0 Verzeichnis(se), 4.321.947.648 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS
28.01.2007 12:40 141.879 setupapi.log
28.01.2007 12:32 317.568 wmsetup.log
28.01.2007 12:32 1.346.679 WindowsUpdate.log
28.01.2007 12:12 0 0.log
28.01.2007 12:12 159 wiadebug.log
28.01.2007 12:12 50 wiaservc.log
28.01.2007 12:11 2.048 bootstat.dat
28.01.2007 02:10 32.614 SchedLgU.Txt
28.01.2007 01:30 69 NeroDigital.ini
27.01.2007 19:59 235.583 KB873339.log
27.01.2007 17:57 243.545 iis6.log
27.01.2007 17:57 451.231 comsetup.log
27.01.2007 17:57 283.079 ntdtcsetup.log
27.01.2007 17:57 669.421 tsoc.log
27.01.2007 17:57 3.739 imsins.log
27.01.2007 17:57 59.020 ocmsn.log
27.01.2007 17:57 946.517 ocgen.log
27.01.2007 17:57 83.379 msgsocm.log
27.01.2007 17:57 1.653.564 FaxSetup.log
27.01.2007 17:48 1.917 imsins.BAK
26.01.2007 14:12 1.409 QTFont.for
26.01.2007 14:12 54.156 QTFont.qfn
22.01.2007 12:34 91.352 installer3.5.6.exe
22.01.2007 11:13 19.310 mozver.dat
18.01.2007 20:00 725 EF2.INI
17.01.2007 13:22 249.722 DirectX.log
14.01.2007 21:03 950 STBC_DEMO.ini
14.01.2007 12:29 0 ORUN32.EXE
14.01.2007 12:04 109.251 spupdsvc.log
14.01.2007 10:30 14.455 wmsetup10.log
14.01.2007 10:28 17.336 KB926239.log
14.01.2007 10:28 15.910 MSCompPackV1.log
14.01.2007 10:27 45.282 wmp11.log
14.01.2007 10:25 67.330 WMFDist11.log
14.01.2007 10:23 24.452 Wudf01000Inst.log
12.01.2007 16:55 610 poolemup.ini
12.01.2007 11:12 10.268 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
12.01.2007 00:46 10.753 KB929969.log
08.01.2007 21:06 1.235 iereseticons.log
08.01.2007 21:04 52.501 ie7Uninst.log
08.01.2007 21:02 142.019 updspapi.log
08.01.2007 20:40 42.283 ie7_main.log
08.01.2007 20:40 97.474 ie7.log
08.01.2007 20:36 21.566 IDNMitigationAPIs.log
08.01.2007 20:35 21.228 NLSDownlevelMapping.log
08.01.2007 20:35 1.035.770 setupapi.log.0.old
08.01.2007 20:34 12.174 KB915865.log
08.01.2007 20:20 0 setuperr.log
07.01.2007 13:51 86.146 setupact.log
03.01.2007 15:22 1.054 ef.ini
24.12.2006 02:30 1.125 Winamp.ini
20.12.2006 18:53 60.416 ALCFDRTM.VER
13.12.2006 14:11 17.656 KB925454.log
13.12.2006 14:10 11.999 KB925398.log
13.12.2006 14:08 11.176 KB926255.log
13.12.2006 14:08 11.060 KB923694.log
11.12.2006 16:09 1.920 win.ini
01.12.2006 16:39 40.483 cFosSpeed_Setup_Log.txt
19.11.2006 14:46 11.634 sessmgr.setup.log
19.11.2006 14:27 12.948 WGA.log
08.11.2006 17:49 16.809 DirectX_SDK.log
08.11.2006 17:41 466 DXError.log
07.11.2006 16:10 121 GEARInstall.log
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\temp
28.01.2007 13:03 0 win2DC.tmp
28.01.2007 12:19 8.704 win179.tmp.exe
28.01.2007 12:17 0 win106.tmp
3 Datei(en) 8.704 Bytes
0 Verzeichnis(se), 4.322.410.496 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\WINDOWS\Downloaded Program Files
27.07.2006 11:44 63.056 MusicManagerUnInstaller.exe
27.07.2006 11:44 1.058.496 MusicManagerPlugin.ocx
27.07.2006 11:44 255.568 MusicManagerPlaylist.dll
27.07.2006 11:44 419.408 MusicManagerLib.dll
27.07.2006 11:44 91.728 MusicManagerInstaller.dll
27.07.2006 11:44 63.056 MusicManagerUnInstaller.od2
14.07.2006 14:16 1.296 MusicManager.inf
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6
Verzeichnis von C:\
28.01.2007 13:15 0 sys.txt
28.01.2007 13:14 3.461 down.txt
28.01.2007 13:13 366 tmp.txt
28.01.2007 13:13 24.747 system.txt
28.01.2007 13:12 284 systemtemp.txt
28.01.2007 13:11 123.589 system32.txt
28.01.2007 13:08 151.815 dirdat.txt
28.01.2007 13:03 10.711 ComboFix.txt
28.01.2007 12:12 45 TEST.XML
28.01.2007 12:11 536.399.872 hiberfil.sys
28.01.2007 12:10 805.306.368 pagefile.sys
21.01.2007 17:14 1.024 utomds.exe
21.01.2007 17:14 1.024 xcdecs.exe
21.01.2007 17:14 1.024 jxvf.exe
21.01.2007 17:14 1.024 nvix.exe
21.01.2007 17:14 91.352 jqyn.exe
21.01.2007 17:14 0 -1057557578
14.01.2007 12:53 18.146 files.txt
14.01.2007 12:12 1.772 avenger.txt
14.01.2007 01:11 1.502 VundoFix.txt
14.01.2007 00:42 10.102 vm404.log
13.01.2007 01:05 16.738 ComboFix2.txt
12.01.2007 17:34 2.798 c.txt
11.12.2006 16:10 100.326 XmpegLog.txt
11.12.2006 16:10 100.663.296 Output Video File.avi
19.11.2006 14:46 211 boot.ini
19.11.2006 14:37 47.564 NTDETECT.COM
19.11.2006 14:37 251.184 ntldr
06.11.2006 13:26 2.371 dvdlog.txt
06.11.2006 13:17 117 graph.txt