C:\WINDOWS\Temp\winxx.tmp Trojaner

#1 Hallo!

Ich habe zwar versucht auch in ein anderes passendes Thema dazuzuposten, was aber leider nicht funktioniert hat, deshalb muss ich leider einen neuen Post aufmachen.

Ich habe leider auch das problem mit dem Trojaner. Ich hab schon mehrere Problemlösungen von diesem Forum probiert, aber leider hat davon nichts funktioniert. Und mein Virenscanner hilft mir leider auch nicht weiter. Deshalb hoffe ich, dass mir hier geholfen werden kann.

Also. Folgende Probleme tauchen auf:
unter C:\WINDOWS\Temp\ werden ständig Dateien mit winxx.tmp und winxx.tmp.exe erstellt (xx steht für eine belibige zahl)
so alle viertel stunde oder so macht sich dann auch ein popup im internet explorer auf.

So, die Anleitung für das Logfile hab ich auch schon durchgemacht und poste sie deshalb gleich mit.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 23:23:56, on 29.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Programme\Digita Personal Fingerprintsoftware\Bin\DPWinLct.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
D:\Programme\Digita Personal Fingerprintsoftware\Bin\DpHost.exe
D:\PC-Welt\ewido anti-spyware 4.0\guard.exe
D:\Programme\norton\Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\cba\pds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\PC-Welt\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Digita Personal Fingerprintsoftware\Bin\DPFUSMgr.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\WINDOWS\system32\MsgSys.EXE
d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\WLAN\WLANmon.exe
D:\Programme\Digita Personal Fingerprintsoftware\Bin\DPAgnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\PC-Welt\Spyware Terminator\SpywareTerminatorShield.exe
D:\PC-Welt\ebay\toolbar\eBayTBDaemon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\PC-Welt\TVgenial3.4\TVgenial.exe
C:\WINDOWS\system32\ctfmon.exe
D:\PC-Welt\Erinnerung\erinnerung.exe
D:\Internet\GetRight\getright.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\neo1984\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe
D:\Programme\Office2003\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\TEMP\win16.tmp.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\PC-Welt\ebay\toolbar\eBayTB.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\PC-Welt\ebay\toolbar\eBayTB.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [WLAN CARD WLAN Monitor] C:\Programme\WLAN\WLANmon.exe
O4 - HKLM\..\Run: [DPAgnt] D:\Programme\Digita Personal Fingerprintsoftware\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LogonStudio] "D:\Programme\WinCustomizeLogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Programme\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "D:\PC-Welt\SPYWAR~2\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [eBayToolbar] D:\PC-Welt\ebay\toolbar\eBayTBDaemon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TVgenial] D:\PC-Welt\TVgenial3.4\TVgenial.exe -d
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Erinnerung.lnk = D:\PC-Welt\Erinnerung\erinnerung.exe
O4 - Startup: GetRight - Tray Icon.lnk = D:\Internet\GetRight\getright.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &eBay Search - res://D:\PC-Welt\ebay\toolbar\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Download Video - http://www.viloader.net/addon.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.symantec.com
O16 - DPF: o4mdl - http://image.one4.de/o4/cab/o4mdl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\system32\DPWLEvHd.dll
O20 - Winlogon Notify: iifebba - iifebba.dll (file missing)
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: SASWinLogon - D:\PC-Welt\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)
O20 - Winlogon Notify: winvfv32 - C:\WINDOWS\SYSTEM32\winvfv32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - (no file)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: DefWatch - Unknown owner - D:\Programme\Norton AntiVirus Coporate Edition\defwatch.exe (file missing)
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - D:\Programme\Digita Personal Fingerprintsoftware\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - D:\Programme\Digita Personal Fingerprintsoftware\Bin\DpHost.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\PC-Welt\ewido anti-spyware 4.0\guard.exe
O23 - Service: GhostStartService - Symantec Corporation - D:\Programme\norton\Ghost 2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - D:\Programme\norton\AntiVirus2007\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Unknown owner - D:\Programme\Norton AntiVirus Coporate Edition\rtvscan.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\PC-Welt\Spyware Terminator\sp_rsser.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Ich weiß mittlerweile leider nicht mehr, was ich noch tun soll, damit das weggeht und hoffe deshalb, dass mir hier geholfen werden kann.

Ich möchte mich schon mal im Vorhinein bedanken.

Grüße,
Stefan

#2 neo1984

««
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit

#3 danke!

also hier ist mal die Logfile von Combofix:

Zitat

"neo1984" - 07-01-30 17:09:55 Service Pack 2
ComboFix 07.01.30 - Running from: "C:\Dokumente und Einstellungen\neo1984\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\Downloaded Program Files\Quarantine
C:\Programme\Gemeinsame Dateien\{A97C8~1
C:\WINDOWS\system32\components


((((((((((((((((((((((((((((((( Files Created from 2006-12-30 to 2007-01-30 ))))))))))))))))))))))))))))))))))


2007-01-29 23:51 <DIR> d-------- C:\WINDOWS\system32\PreInstall
2007-01-29 21:51 22,029 ---hs---- C:\WINDOWS\system32\khfcbaw.dll
2007-01-28 23:05 <DIR> d-------- C:\DOKUME~1\neo1984\Anwendungsdaten\Pinnacle Systems
2007-01-28 16:59 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-01-28 16:01 22,029 ---hs---- C:\WINDOWS\system32\vtursrp.dll
2007-01-28 15:09 135,936 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-01-28 15:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Spyware Terminator
2007-01-28 13:50 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\TEMP
2007-01-28 13:29 22,029 ---hs---- C:\WINDOWS\system32\cbxxxyv.dll
2007-01-28 11:01 22,029 ---hs---- C:\WINDOWS\system32\cbxvvtt.dll
2007-01-28 10:19 22,029 ---hs---- C:\WINDOWS\system32\urqroli.dll
2007-01-28 01:58 449,862 ---hs---- C:\WINDOWS\system32\vycdd.ini2
2007-01-28 01:46 442,897 ---hs---- C:\WINDOWS\system32\vycdd.bak1
2007-01-28 01:41 8,704 --a------ C:\WINDOWS\system32\v6.exe
2007-01-28 01:41 17,920 --a------ C:\WINDOWS\system32\winvfv32.dll
2007-01-26 19:27 <DIR> d-------- C:\DOKUME~1\neo1984\Anwendungsdaten\Ahead
2007-01-26 19:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2007-01-22 17:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\NVIDIA
2007-01-22 17:23 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-01-22 17:23 <DIR> d-------- C:\WINDOWS\nview
2007-01-22 17:07 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-01-20 19:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Messenger Plus!
2007-01-20 02:09 1,254,631 --a------ C:\WINDOWS\system32\umb.scr
2007-01-20 01:47 163,712 --a------ C:\WINDOWS\system32\drivers\vidstub.sys
2007-01-20 00:21 187,392 --a------ C:\WINDOWS\system32\JPGUtils.dll
2007-01-20 00:21 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Stardock
2007-01-15 17:43 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Hagel Technologies
2007-01-14 17:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ArcSoft
2007-01-14 17:26 <DIR> d-------- C:\DOKUME~1\neo1984\Anwendungsdaten\Arcsoft
2007-01-14 17:05 6,400 --a------ C:\WINDOWS\system32\drivers\pctvvbi.sys
2007-01-14 17:05 556,416 --a------ C:\WINDOWS\system32\drivers\3xHybrid.sys
2007-01-14 17:05 3,072 --a------ C:\WINDOWS\system32\34CoInstaller.dll
2007-01-14 17:04 61,440 --------- C:\WINDOWS\system32\pclepim1.dll
2007-01-14 17:04 61,440 --------- C:\WINDOWS\system32\MFC70ITA.DLL
2007-01-14 17:04 61,440 --------- C:\WINDOWS\system32\MFC70FRA.DLL
2007-01-14 17:04 61,440 --------- C:\WINDOWS\system32\MFC70ESP.DLL
2007-01-14 17:04 61,440 --------- C:\WINDOWS\system32\MFC70DEU.DLL
2007-01-14 17:04 49,152 --------- C:\WINDOWS\system32\MFC70KOR.DLL
2007-01-14 17:04 49,152 --------- C:\WINDOWS\system32\MFC70JPN.DLL
2007-01-14 17:04 45,056 --------- C:\WINDOWS\system32\MFC70CHT.DLL
2007-01-14 17:04 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2007-01-14 17:04 40,960 --------- C:\WINDOWS\system32\MFC70CHS.DLL
2007-01-14 17:04 14,604 --------- C:\WINDOWS\system32\drivers\pfc.sys
2007-01-14 11:46 724,992 --a------ C:\WINDOWS\iun6002.exe
2007-01-06 00:30 <DIR> d-------- C:\DOKUME~1\neo1984\Anwendungsdaten\vlc
2007-01-04 19:24 <DIR> d-------- C:\DOKUME~1\neo1984\Anwendungsdaten\InstallShield
2007-01-04 18:54 <DIR> d-------- C:\Programme\proDAD
2007-01-04 18:49 <DIR> d-------- C:\Programme\AdorageI-SAL
2007-01-04 18:49 <DIR> d-------- C:\Programme\AdorageI-GfxDatas
2007-01-04 18:30 930,992 --------- C:\WINDOWS\system32\Ltr13n.dll
2007-01-04 18:30 884,736 --------- C:\WINDOWS\system32\LMUIRes.dll
2007-01-04 18:30 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2007-01-04 18:30 80,896 --------- C:\WINDOWS\system32\lfwmf13s.dll
2007-01-04 18:30 79,360 --a------ C:\WINDOWS\system32\lfeps13s.dll
2007-01-04 18:30 76,800 --------- C:\WINDOWS\system32\Lfwmf13n.dll
2007-01-04 18:30 74,752 --a------ C:\WINDOWS\system32\lfgif13s.dll
2007-01-04 18:30 73,728 --------- C:\WINDOWS\system32\MMAviAx.dll
2007-01-04 18:30 73,728 --------- C:\WINDOWS\system32\lffax13n.dll
2007-01-04 18:30 70,144 --------- C:\WINDOWS\system32\lfbmp13s.dll
2007-01-04 18:30 65,536 --------- C:\WINDOWS\system32\lfpcx13s.dll
2007-01-04 18:30 65,536 --------- C:\WINDOWS\system32\Lfpct13n.dll
2007-01-04 18:30 64,512 --------- C:\WINDOWS\system32\lftga13s.dll
2007-01-04 18:30 59,904 --------- C:\WINDOWS\system32\lfpcd13s.dll
2007-01-04 18:30 466,624 --a------ C:\WINDOWS\system32\LTRPR13n.DLL
2007-01-04 18:30 453,120 --------- C:\WINDOWS\system32\ltkrn13n.dll
2007-01-04 18:30 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-01-04 18:30 409,600 --------- C:\WINDOWS\system32\LFCMP13s.DLL
2007-01-04 18:30 401,408 --a------ C:\WINDOWS\system32\pvmjpg30.dll
2007-01-04 18:30 393,216 --------- C:\WINDOWS\system32\LFCMP13n.DLL
2007-01-04 18:30 306,352 --------- C:\WINDOWS\system32\Ltrio13n.dll
2007-01-04 18:30 30,208 --------- C:\WINDOWS\system32\lfbmp13n.dll
2007-01-04 18:30 283,648 --------- C:\WINDOWS\system32\LFJ2K13s.dll
2007-01-04 18:30 278,016 --------- C:\WINDOWS\system32\LFJ2K13n.dll
2007-01-04 18:30 24,576 --------- C:\WINDOWS\system32\lftga13n.dll
2007-01-04 18:30 2,079,232 --------- C:\WINDOWS\system32\LTCLR13s.dll
2007-01-04 18:30 194,248 --a------ C:\WINDOWS\system32\LTRFD13n.DLL
2007-01-04 18:30 185,856 --a------ C:\WINDOWS\system32\lfpng13s.dll
2007-01-04 18:30 167,936 --------- C:\WINDOWS\system32\lftif13s.dll
2007-01-04 18:30 153,088 --------- C:\WINDOWS\system32\ltfil13n.DLL
2007-01-04 18:30 143,360 --------- C:\WINDOWS\system32\lftif13n.dll
2007-01-04 18:30 126,976 --------- C:\WINDOWS\system32\AVIPrAx.dll
2007-01-04 18:30 12,288 --------- C:\WINDOWS\system32\LMLRes.dll
2007-01-04 18:30 116,224 --------- C:\WINDOWS\system32\lffax13s.dll
2007-01-04 18:30 110,080 --------- C:\WINDOWS\system32\lfpsd13s.dll
2007-01-04 18:30 105,984 --------- C:\WINDOWS\system32\lfpct13s.dll
2007-01-04 18:30 1,693,696 --------- C:\WINDOWS\system32\LTCLR13n.dll
2007-01-04 18:30 1,230,336 --a------ C:\WINDOWS\system32\msxml4.dll
2007-01-04 18:30 1,013,248 --------- C:\WINDOWS\system32\Ltwvc13n.dll
2007-01-04 18:27 765,952 --------- C:\WINDOWS\system32\msvcp71d.dll
2007-01-04 18:27 544,768 --------- C:\WINDOWS\system32\msvcr71d.dll
2007-01-04 18:27 33,340 --------- C:\WINDOWS\system32\dbmsqlgc.dll
2007-01-04 18:27 24,576 --------- C:\WINDOWS\system32\dbmsgnet.dll
2007-01-04 18:27 <DIR> d-------- C:\WINDOWS\Cache
2007-01-04 18:27 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-01-04 18:25 <DIR> dr--s---- C:\WINDOWS\assembly
2007-01-04 18:25 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2007-01-04 18:25 <DIR> d-------- C:\WINDOWS\Microsoft.NET
2007-01-04 18:24 90,112 --a------ C:\WINDOWS\unvise32.exe
2007-01-04 18:18 <DIR> d-------- C:\Programme\SmartSound Software
2007-01-04 18:18 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\SmartSound Software Inc
2007-01-04 18:17 84,992 --a------ C:\WINDOWS\system32\ATL70.DLL
2007-01-04 18:17 57,856 --a------ C:\WINDOWS\system32\masd32.dll
2007-01-04 18:17 41,219 --a------ C:\WINDOWS\RSETPATH.exe
2007-01-04 18:17 27,648 --a------ C:\WINDOWS\system32\ma32.dll
2007-01-04 18:17 196,096 --a------ C:\WINDOWS\system32\macd32.dll
2007-01-04 18:17 171,008 --a------ C:\WINDOWS\system32\drivers\MarvinBus.sys
2007-01-04 18:17 138,752 --a------ C:\WINDOWS\system32\mase32.dll
2007-01-04 18:17 136,192 --a------ C:\WINDOWS\system32\mamc32.dll
2007-01-04 18:16 974,848 --------- C:\WINDOWS\system32\MFC70.DLL
2007-01-04 18:16 964,608 --------- C:\WINDOWS\system32\MFC70U.DLL
2007-01-04 18:16 65,536 --a------ C:\WINDOWS\system32\MFC71DEU.DLL
2007-01-04 18:16 61,440 --a------ C:\WINDOWS\system32\MFC71ITA.DLL
2007-01-04 18:16 61,440 --a------ C:\WINDOWS\system32\MFC71FRA.DLL
2007-01-04 18:16 61,440 --a------ C:\WINDOWS\system32\MFC71ESP.DLL
2007-01-04 18:16 57,344 --a------ C:\WINDOWS\system32\MFC71ENU.DLL
2007-01-04 18:16 54,784 --------- C:\WINDOWS\system32\MSVCI70.DLL
2007-01-04 18:16 49,152 --a------ C:\WINDOWS\system32\MFC71KOR.DLL
2007-01-04 18:16 49,152 --a------ C:\WINDOWS\system32\MFC71JPN.DLL
2007-01-04 18:16 49,152 --------- C:\WINDOWS\system32\PCLEGetGuid.dll
2007-01-04 18:16 487,424 --a------ C:\WINDOWS\system32\MSVCP70.DLL
2007-01-04 18:16 45,056 --a------ C:\WINDOWS\system32\MFC71CHT.DLL
2007-01-04 18:16 40,960 --a------ C:\WINDOWS\system32\MFC71CHS.DLL
2007-01-04 18:16 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-01-04 18:15 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Pinnacle Studio
2007-01-04 18:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\Pinnacle
2007-01-04 18:12 14,165 --a------ C:\WINDOWS\system32\drivers\Pclepci.sys
2007-01-04 18:12 <DIR> d-------- C:\Programme\Pinnacle
2007-01-02 19:23 <DIR> d-------- C:\DOKUME~1\neo1984\Anwendungsdaten\STOIK
2006-12-31 01:40 <DIR> d-------- C:\DOKUME~1\neo1984\.jdiskreport


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-01-30 16:45 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-01-28 01:43 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2007-01-28 01:41 -------- d--h----- C:\Programme\installshield installation information
2007-01-22 17:28 -------- d-------- C:\DOKUME~1\neo1984\Anwendungsdaten\mozilla
2007-01-20 11:25 -------- d-------- C:\Programme\themexp
2007-01-20 02:00 2722304 --a------ C:\WINDOWS\system32\logonuix.exe
2007-01-14 22:58 -------- d---s---- C:\DOKUME~1\neo1984\Anwendungsdaten\microsoft
2007-01-04 18:17 87 --a------ C:\AUTOEXEC.BAT
2006-12-31 01:54 53 ---hs---- C:\MSDOS.SYS
2006-12-29 21:25 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll
2006-12-29 21:25 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-12-29 21:25 -------- d-------- C:\Programme\symantec
2006-12-28 19:38 -------- d-------- C:\Programme\symantec technical support
2006-12-19 17:09 276792 --a------ C:\WINDOWS\system32\drivers\srtspl.sys
2006-12-19 17:09 25400 --a------ C:\WINDOWS\system32\drivers\srtspx.sys
2006-12-19 17:09 247096 --a------ C:\WINDOWS\system32\drivers\srtsp.sys
2006-12-14 19:26 40 ---hs---- C:\DOKUME~1\neo1984\Anwendungsdaten\.zreglib
2006-12-06 17:40 -------- d-------- C:\Programme\msn messenger
2006-12-01 19:12 -------- d-------- C:\Programme\win2day
2006-11-07 21:03 6049280 --------- C:\WINDOWS\system32\ieframe.dll
2006-11-07 21:03 50688 --------- C:\WINDOWS\system32\msfeedsbs.dll
2006-11-07 21:03 458752 --------- C:\WINDOWS\system32\msfeeds.dll
2006-11-07 21:03 413696 --a------ C:\WINDOWS\system32\vbscript.dll
2006-11-07 21:03 231424 --a------ C:\WINDOWS\system32\webcheck.dll
2006-11-07 21:03 180736 --------- C:\WINDOWS\system32\ieui.dll
2006-11-07 21:03 156160 --a------ C:\WINDOWS\system32\msls31.dll
2006-11-07 20:58 40 --a------ C:\WINDOWS\mp4891en.dll
2006-11-07 03:27 382976 --a------ C:\WINDOWS\system32\iedkcs32.dll
2006-11-07 03:27 229376 --a------ C:\WINDOWS\system32\ieaksie.dll
2006-11-07 03:26 71680 --a------ C:\WINDOWS\system32\admparse.dll
2006-11-07 03:26 55296 --a------ C:\WINDOWS\system32\iesetup.dll
2006-11-07 03:26 54784 --a------ C:\WINDOWS\system32\ie4uinit.exe
2006-11-07 03:26 43008 --a------ C:\WINDOWS\system32\iernonce.dll
2006-11-07 03:26 152064 --a------ C:\WINDOWS\system32\ieakeng.dll
2006-11-07 03:26 13312 --a------ C:\WINDOWS\system32\ieudinit.exe
2006-11-07 03:26 123904 --a------ C:\WINDOWS\system32\advpack.dll
2006-11-07 03:25 161792 --a------ C:\WINDOWS\system32\ieakui.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"STYLEXP"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"TVgenial"="D:\\PC-Welt\\TVgenial3.4\\TVgenial.exe -d"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\ipoint.exe\""
"WLAN CARD WLAN Monitor"="C:\\Programme\\WLAN\\WLANmon.exe"
"DPAgnt"="D:\\Programme\\Digita Personal Fingerprintsoftware\\Bin\\DPAgnt.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"LogonStudio"="\"D:\\Programme\\WinCustomizeLogonStudio\\logonstudio.exe\" /RANDOM"
"BootSkin Startup Jobs"="\"D:\\Programme\\WinCustomize\\BootSkin\\BootSkin.exe\" /StartupJobs"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"SpywareTerminator"="\"D:\\PC-Welt\\SPYWAR~2\\SpywareTerminatorShield.exe\""
"eBayToolbar"="D:\\PC-Welt\\ebay\\toolbar\\eBayTBDaemon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
"{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"=hex:00,00,00,00
"NoFind"=hex:00,00,00,00
"NoRun"=dword:00000000
"NoLogOff"=dword:00000000
"NoClose"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoFavoritesMenu"=hex:00,00,00,00
"NoFind"=hex:00,00,00,00
"NoRun"=dword:00000000
"NoLogOff"=dword:00000000
"NoClose"=dword:00000000

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer\Run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifebba
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbue32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winvfv32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8a8269fc-27c4-11db-b4fc-000272c57106}]
Shell\AutoRun\command J:\Programme\pstart\PStart.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systempr�fung ausf�hren - neo1984.job
C:\WINDOWS\tasks\wrSpySweeperTrialSweep.job

Completion time: 07-01-30 17:11:12

==============================================
datfind:

System32:

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\system32

30.01.2007 17:08 88.566 nvapps.xml
30.01.2007 17:07 24 erin.pfd
30.01.2007 16:41 13.646 wpa.dbl
30.01.2007 16:40 49.152 CompiledAdapter
29.01.2007 22:12 188 coh.cache
29.01.2007 22:12 53.571 EraserAHS.tlg
29.01.2007 21:51 22.029 khfcbaw.dll
29.01.2007 21:15 6.948 EraserAHS.log
28.01.2007 16:48 7.930 ikhcore.log
28.01.2007 16:44 449.862 vycdd.ini2
28.01.2007 16:01 22.029 vtursrp.dll
28.01.2007 13:29 22.029 cbxxxyv.dll
28.01.2007 11:01 22.029 cbxvvtt.dll
28.01.2007 10:19 22.029 urqroli.dll
28.01.2007 04:31 445.945 vycdd.ini
28.01.2007 01:49 444.676 vycdd.tmp
28.01.2007 01:46 442.897 vycdd.bak1
28.01.2007 01:41 8.704 v6.exe
28.01.2007 01:41 17.920 winvfv32.dll

20.01.2007 02:00 2.722.304 logonuiX.exe

14.01.2007 17:14 330.688 FNTCACHE.DAT
04.01.2007 18:57 50 blue.SITENAME
04.01.2007 18:28 401.084 perfh009.dat
04.01.2007 18:28 61.224 perfc009.dat
04.01.2007 18:28 412.330 perfh007.dat
04.01.2007 18:28 72.214 perfc007.dat
04.01.2007 18:28 907.650 PerfStringBackup.INI
29.12.2006 21:25 48.776 S32EVNT1.DLL
07.11.2006 21:24 1.040.384 ieframe.dll.mui
07.11.2006 21:23 12.288 advpack.dll.mui
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
Verzeichnis von C:\DOKUME~1\neo1984\LOKALE~1\Temp

30.01.2007 17:07 16.384 ~DFFD57.tmp
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 16.198.197.248 Bytes frei

system

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS

30.01.2007 17:07 24 LogonStudio.ini
30.01.2007 16:41 0 0.log
30.01.2007 16:40 531.269 WindowsUpdate.log
30.01.2007 16:40 159 wiadebug.log
30.01.2007 16:40 50 wiaservc.log
30.01.2007 16:40 2.048 bootstat.dat
30.01.2007 16:36 32.586 SchedLgU.Txt
29.01.2007 23:51 8.432 WGA.log
29.01.2007 23:51 868.164 setupapi.log
29.01.2007 23:51 32.104 comsetup.log
29.01.2007 23:51 119.291 iis6.log
29.01.2007 23:51 18.590 ntdtcsetup.log
29.01.2007 23:51 1.374 imsins.log
29.01.2007 23:51 3.471 tabletoc.log
29.01.2007 23:51 33.813 tsoc.log
29.01.2007 23:51 3.682 ocmsn.log
29.01.2007 23:51 7.283 KB898461.log
29.01.2007 23:51 5.109 MedCtrOC.log
29.01.2007 23:51 11.156 netfxocm.log
29.01.2007 23:51 43.500 ocgen.log
29.01.2007 23:51 3.468 msgsocm.log
29.01.2007 23:51 58.116 FaxSetup.log
29.01.2007 23:51 30.624 msmqinst.log
28.01.2007 19:07 766.272 ntbtlog.txt
28.01.2007 01:41 616 eReg.dat
28.01.2007 01:30 69 NeroDigital.ini
27.01.2007 14:47 192.040 setupact.log
26.01.2007 19:25 46.585 wmsetup.log
23.01.2007 21:59 1.409 QTFont.for
23.01.2007 21:59 54.156 QTFont.qfn
23.01.2007 19:39 1.289 VFO.INI
15.01.2007 17:04 17 MovingPicture.ini
14.01.2007 20:45 1.852 attach.log
14.01.2007 17:24 846 win.ini
14.01.2007 17:05 17.894 dasetup.log
14.01.2007 17:04 316.640 WMSysPr9.prx
14.01.2007 11:46 724.992 iun6002.exe
04.01.2007 19:35 455 VFO.VST
04.01.2007 19:30 1.452 COM+.log
04.01.2007 19:24 134 PatchInstall1Debug.log
04.01.2007 18:33 63 Studio10_BonusDVD.log
04.01.2007 18:27 3.723 dahotfix.log
04.01.2007 18:17 807 DirectX.log
04.01.2007 18:12 37 install_Studio10.log
31.12.2006 01:11 3.788 imsins.BAK
28.12.2006 23:07 256 system.ini
27.12.2006 16:26 8.627 KB893803v2.log
10.12.2006 10:43 5.796 spupdsvc.log
10.12.2006 10:42 14.969 ie7_main.log
10.12.2006 10:42 60.020 ie7.log
10.12.2006 10:42 28.640 updspapi.log
10.12.2006 10:41 6.481 IDNMitigationAPIs.log
10.12.2006 10:41 6.214 NLSDownlevelMapping.log
10.12.2006 10:40 5.398 KB915865.log
04.12.2006 21:17 25 cdplayer.ini
24.11.2006 16:31 60 KPCMS.INI
12.11.2006 04:37 328 3gptoavi3.INI
07.11.2006 20:58 40 mp4891en.dll
07.11.2006 20:56 11 amunres.lsl
02.09.2006 23:14 795 TargetExpress.ini
02.09.2006 08:29 290.816 Setup1.exe
02.09.2006 08:29 74.752 ST6UNST.EXE

tmp

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\Temp

30.01.2007 17:19 37.376 win33.tmp.exe
30.01.2007 17:17 34.760 win32.tmp.exe
30.01.2007 17:15 51.560 win31.tmp.exe
30.01.2007 16:40 16.384 Perflib_Perfdata_114.dat
4 Datei(en) 140.080 Bytes
0 Verzeichnis(se), 16.198.184.960 Bytes frei

down

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.12.2006 18:19 2.072 vscanmsx.dat
20.12.2006 01:00 224 zdone.dat
20.12.2006 01:00 32 virscant.dat
20.12.2006 01:00 3.940.959 virscan9.dat
20.12.2006 01:00 1.650.979 virscan8.dat
20.12.2006 01:00 2.504 catalog.dat
20.12.2006 01:00 148 tinfidx.dat
20.12.2006 01:00 6.899 ecbootil.vxd
20.12.2006 01:00 5.396.298 virscan7.dat
20.12.2006 01:00 272.040 ecmsvr32.dll
20.12.2006 01:00 390.030 virscan6.dat
20.12.2006 01:00 453 tinf.dat
20.12.2006 01:00 3.086.703 virscan5.dat
20.12.2006 01:00 320.186 virscan4.dat
20.12.2006 01:00 147.296 virscan3.dat
20.12.2006 01:00 124.584 naveng32.dll
20.12.2006 01:00 882.344 navex32a.dll
20.12.2006 01:00 569.910 virscan2.dat
20.12.2006 01:00 1.957 tinfl.dat
20.12.2006 01:00 974.242 virscan1.dat
20.12.2006 01:00 106.244 virscan.inf
20.12.2006 01:00 2.261 v.sig
20.12.2006 01:00 4.778 v.grd
20.12.2006 01:00 728.804 tcscan9.dat
20.12.2006 01:00 3.072 tscan1hd.dat
20.12.2006 01:00 64.048 tscan1.dat
20.12.2006 01:00 97.696 scrauth.dat
20.12.2006 01:00 323.242 tcscan8.dat
20.12.2006 01:00 9.237 symaveng.cat
20.12.2006 01:00 1.061 symaveng.inf
20.12.2006 01:00 187.543 tcdefs.dat
20.12.2006 01:00 1.172.076 tcscan7.dat
13.08.2006 21:54 0 ppv5exc.dat
08.08.2006 16:45 65 desktop.ini
26.07.2006 03:00 896 jinstall-1_5_0_08.inf
17.07.2006 17:20 557 OSDC7.OSD
22.06.2006 10:41 5.032 swflash.inf

danke
Grüße,
Stefan

#4 ««
es fehlt das log von c:\

1,
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

--------

heute abend erstelle ich dann ein avengerscript
__________
MfG Sabina

rund um die PC-Sicherheit

#5 erledigt!

Hier die logfile

Zitat

SDFix: Version 1.63

30.01.2007 - 19:06:32,43

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\Temp\win31.tmp.exe - Deleted
C:\WINDOWS\Temp\win32.tmp.exe - Deleted
C:\WINDOWS\Temp\win33.tmp.exe - Deleted
C:\WINDOWS\Temp\win*.tmp - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Internet\\eMule44\\emule.exe"="D:\\Internet\\eMule44\\emule.exe:*:Enabled:eMule"
"D:\\Internet\\SmartFTP\\SmartFTP.exe"="D:\\Internet\\SmartFTP\\SmartFTP.exe:*:Enabled:SmartFTP"
"D:\\Internet\\SmartFTP Client 2.0\\SmartFTP.exe"="D:\\Internet\\SmartFTP Client 2.0\\SmartFTP.exe:*:Enabled:SmartFTP Client 2.0"
"C:\\Dokumente und Einstellungen\\neo1984\\Lokale Einstellungen\\Temp\\Temporäres Verzeichnis 2 für webfolder.zip\\WebFolder.exe"="C:\\Dokumente und Einstellungen\\neo1984\\Lokale Einstellungen\\Temp\\Temporäres Verzeichnis 2 für webfolder.zip\\WebFolder.exe:*:Enabled:Einfache Laufwerksfreigabe über http"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"D:\\Internet\\GetRight\\getright.exe"="D:\\Internet\\GetRight\\getright.exe:*:Enabled:GetRight® www.getright.com"
"D:\\Programme\\Pinnacle Studio10\\programs\\RM.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\RM.exe:*:Enabled:Render Manager"
"D:\\Programme\\Pinnacle Studio10\\programs\\Studio.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\Studio.exe:*:Enabled:Studio"
"D:\\Programme\\Pinnacle Studio10\\programs\\PMSRegisterFile.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\PMSRegisterFile.exe:*:EnabledMSRegisterFile"
"D:\\Programme\\Pinnacle Studio10\\programs\\umi.exe"="D:\\Programme\\Pinnacle Studio10\\programs\\umi.exe:*:Enabled:umi"
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Remoteunterstützung - Windows Messenger und Voice"
"C:\\DOKUME~1\\neo1984\\LOKALE~1\\Temp\\win135.tmp.exe"="C:\\DOKUME~1\\neo1984\\LOKALE~1\\Temp\\win135.tmp.exe:*:Enabled:win135.tmp"
"C:\\WINDOWS\\TEMP\\win25E.tmp.exe"="C:\\WINDOWS\\TEMP\\win25E.tmp.exe:*:Enabled:win25E.tmp"
"C:\\WINDOWS\\TEMP\\win26C.tmp.exe"="C:\\WINDOWS\\TEMP\\win26C.tmp.exe:*:Enabled:win26C.tmp"
"C:\\WINDOWS\\TEMP\\win27A.tmp.exe"="C:\\WINDOWS\\TEMP\\win27A.tmp.exe:*:Enabled:win27A.tmp"
"C:\\WINDOWS\\TEMP\\win292.tmp.exe"="C:\\WINDOWS\\TEMP\\win292.tmp.exe:*:Enabled:win292.tmp"
"C:\\WINDOWS\\TEMP\\win97.tmp.exe"="C:\\WINDOWS\\TEMP\\win97.tmp.exe:*:Enabled:win97.tmp"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c509 Packet\3C5X9PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c556 Packet\3C556.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\3COM 3c59x Packet\3C59XPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1200 Packet\EC32PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1203 Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1204 Packet\VLNWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207 Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207C Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207D Packet\ACCPKT.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207F Packet\EN5251PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1207TX Packet\PCIPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1208 Packet\1208PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1625 Packet\NEPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1640 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1650 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1651 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1652 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1653 Packet\NE2PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1656 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1657 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN1658 Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN166X Packet\NWPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2216 Packet\PCMPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2218 Packet\PCMPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2228 Packet\PCMPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\ACCTON EN2320 Packet\EN5251PD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DEVICE.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYB.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MODE.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MOUSE.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\NETBIND.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Paralink.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\command.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMBIO.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\pcdos\IBMDOS.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE450 Packet\DE450.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWORKS DE500 Packet\DE500.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DEC EtherWorks ISA (DE305) Packet\DE305.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DE400 Packet\De400pd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DMF560-TX Packet\Lmpd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\DLink DT620 Packet\Dt620pd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\IBM Crystal LAN Packet\Epktisa.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Kingston EtheRx KNE110TX Packet\Ktc110p.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD 10-100AL Packet\L100al.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-CDF Packet\Ldcdt.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Laneed LD-PCI2TL Packet\Ldpcil.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Melco LPC2-T\Lpchkat2.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FNW9x00T - ENW8300T Packet\fetpkt.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\FETPKT.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Planex FW-100TX Fast Ethernet Packet\Rtspkt.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\PXE Packet Driver\Undipd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\SN 2000p Packet\PNPPD.COM
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\WaveLAN Packet\Wvlan42.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX Packet\Cbepd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS Packet\Xpspd.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10 - RE100 Packet\Ce3pd.com
C:\WINDOWS\system32\khfcbaw.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\CMDS16.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\E.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\GUEST.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\MSCDEX.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\Net.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OHCI.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\PROTMAN.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\UHCI.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom CBE10-100BTX\Cbendis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet 10-100 + Modem\Cbendis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Ethernet II PS\Xpsndis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom PE3-10Bx\Pe3ndis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom Re-100Btx + Ce3B-100Btx\Ce3ndis.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\Xircom RE10BT\Ce3ndis.exe
C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Elndis.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\CATC USB Ethernet\Usbd.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI1394.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI2DOS.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI4DOS.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8DOS.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPI8U2.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPICD.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIEHCI.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIOHCI.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\ASPIUHCI.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BOOTSRV.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\bootsrv16.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTCDROM.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\BTDOSM.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\COUNTRY.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DISPLAY.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\DLSHELP.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\FLASHPT.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\HIMEM.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\KEYBOARD.SYS
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\msbootsrv16.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Ghost\Template\common\OAKCDROM.SYS
C:\WINDOWS\system32\dgjlm.tmp
C:\WINDOWS\system32\vycdd.tmp

Finished

Danke!

#6 neo1984

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win25E.tmp.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win26C.tmp.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win27A.tmp.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win292.tmp.exe
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win97.tmp.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|incestuously

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifebba
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbue32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winvfv32

Files to delete:
C:\WINDOWS\Temp\win33.tmp.exe
C:\WINDOWS\Temp\win32.tmp.exe
C:\WINDOWS\Temp\win31.tmp.exe
C:\WINDOWS\TEMP\win16.tmp.exe
C:\WINDOWS\3gptoavi3.INI
C:\WINDOWS\Downloaded Program Files\ppv5exc.dat
C:\WINDOWS\system32\dgjlm.tmp
C:\WINDOWS\system32\vycdd.tmp
C:\WINDOWS\system32\khfcbaw.dll
C:\WINDOWS\system32\vycdd.ini2
C:\WINDOWS\system32\vtursrp.dll
C:\WINDOWS\system32\cbxxxyv.dll
C:\WINDOWS\system32\cbxvvtt.dll
C:\WINDOWS\system32\urqroli.dll
C:\WINDOWS\system32\vycdd.ini
C:\WINDOWS\system32\vycdd.tmp
C:\WINDOWS\system32\vycdd.bak1
C:\WINDOWS\system32\v6.exe
C:\WINDOWS\system32\winvfv32.dll
C:\WINDOWS\system32\udial.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
smitfraud.fix abarbeiten (Option 1 und 2 - lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 so, hab ich auch gemacht.

hier der bericht vom smitfraudfix

Zitat

SmitFraudFix v2.137

Scan done at 17:16:11,15, 31.01.2007
Run from C:\Dokumente und Einstellungen\neo1984\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Zitat

SmitFraudFix v2.137

Scan done at 17:15:54,68, 31.01.2007
Run from C:\Dokumente und Einstellungen\neo1984\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\neo1984


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\neo1984\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\neo1984\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

#8 scanne mit ewido und poste den scanrport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hier der Report:

Zitat

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Trojan.Dialer.rt
Path: [3940] C:\WINDOWS\system32\udial.exe
Risk: High

Name: Trojan.Dialer.rt
Path: [2244] C:\WINDOWS\system32\udial.exe
Risk: High

Name: Trojan.Dialer.rt
Path: [2916] C:\WINDOWS\system32\udial.exe
Risk: High

Name: Trojan.Dialer.rt
Path: [2764] C:\WINDOWS\system32\udial.exe
Risk: High

Name: TrackingCookie.Falkag
Path: C:\RECYCLER\S-1-5-21-1177238915-1788223648-839522115-1003\Dc11.txt
Risk: Medium

Name: TrackingCookie.Cpvfeed
Path: C:\RECYCLER\S-1-5-21-1177238915-1788223648-839522115-1003\Dc17.txt
Risk: Medium

Name: TrackingCookie.Goclick
Path: C:\RECYCLER\S-1-5-21-1177238915-1788223648-839522115-1003\Dc27.txt
Risk: Medium

Name: TrackingCookie.Mediaplex
Path: C:\RECYCLER\S-1-5-21-1177238915-1788223648-839522115-1003\Dc32.txt
Risk: Medium

Name: TrackingCookie.Reliablestats
Path: C:\RECYCLER\S-1-5-21-1177238915-1788223648-839522115-1003\Dc42.txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: C:\RECYCLER\S-1-5-21-1177238915-1788223648-839522115-1003\Dc6.txt
Risk: Medium

Name: Trojan.Dialer.rt
Path: C:\SDFix\backups\backups.zip/backups/win33.tmp.exe
Risk: High

Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\fccyvww.dll
Risk: Medium

Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\khfcbaw.dll
Risk: Medium

Name: Trojan.Dialer.rt
Path: C:\WINDOWS\system32\udial.exe
Risk: High

Name: Downloader.Tiny.fk
Path: C:\WINDOWS\system32\v6.exe
Risk: High

Name: Downloader.Tiny.fk
Path: C:\WINDOWS\Temp\win1E.tmp.exe
Risk: High

Name: Trojan.Dialer.rt
Path: C:\WINDOWS\Temp\win28.tmp.exe
Risk: High

Name: Trojan.Dialer.rt
Path: C:\WINDOWS\Temp\winC.tmp.exe
Risk: High

Ich habe auch einen Button mit "Remove Infections". Soll ich das durchführen?

thx

#10

Zitat

Ich habe auch einen Button mit "Remove Infections". Soll ich das durchführen?

ja klar
dann scanne noch mal

--------

ich denke aber du solltest zuvor das avengerscript abarbeiten................
denn was ich sehe, zeigt, dass du es nicht getan hast
und ewido findet nur einen teil der viren - im avengerscript sind sie (fast alle)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 So, habe Scan nochmal durchgeführt und da ist folgendes rausgekommen:

Zitat

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.Virtumonde
Path: C:\WINDOWS\system32\fccyvww.dll
Risk: Medium

Name: Downloader.Tiny.fk
Path: C:\WINDOWS\Temp\__delete_on_reboot__w_i_n_1_E_._t_m_p_._e_x_e_
Risk: High

Ich probier nochmal zu entfernen neu zu starten und dann scanne ich nochmal und stell den neuen bericht nochmal rein, oder soll ich was anderes machen?

#12 wende bitte das avengerscript an, wenn der PC wieder hochfaehrt, nach dem neustart erscheint ein log - das will ich hier sehen
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hier die logfile:

ach ja, so nebenbei vorher noch zur info: mein Virenscanner hat mir angezeigt, dass er den vundo virus gefunden hat und in C:/windows/temp ist sind auch wieder die winxx.tmp dateien.

so und jetzt die logfile:

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jlykuegd

*******************

Script file located at: \??\C:\okqttsyg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win25E.tmp.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win26C.tmp.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win27A.tmp.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win292.tmp.exe deleted successfully.
Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\WINDOWS\TEMP\win97.tmp.exe deleted successfully.


File C:\WINDOWS\Temp\win33.tmp.exe not found!
Deletion of file C:\WINDOWS\Temp\win33.tmp.exe failed!

Could not process line:
C:\WINDOWS\Temp\win33.tmp.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\win32.tmp.exe not found!
Deletion of file C:\WINDOWS\Temp\win32.tmp.exe failed!

Could not process line:
C:\WINDOWS\Temp\win32.tmp.exe
Status: 0xc0000034



File C:\WINDOWS\Temp\win31.tmp.exe not found!
Deletion of file C:\WINDOWS\Temp\win31.tmp.exe failed!

Could not process line:
C:\WINDOWS\Temp\win31.tmp.exe
Status: 0xc0000034



File C:\WINDOWS\TEMP\win16.tmp.exe not found!
Deletion of file C:\WINDOWS\TEMP\win16.tmp.exe failed!

Could not process line:
C:\WINDOWS\TEMP\win16.tmp.exe
Status: 0xc0000034

File C:\WINDOWS\3gptoavi3.INI deleted successfully.
File C:\WINDOWS\Downloaded Program Files\ppv5exc.dat deleted successfully.
File C:\WINDOWS\system32\dgjlm.tmp deleted successfully.
File C:\WINDOWS\system32\vycdd.tmp deleted successfully.


File C:\WINDOWS\system32\khfcbaw.dll not found!
Deletion of file C:\WINDOWS\system32\khfcbaw.dll failed!

Could not process line:
C:\WINDOWS\system32\khfcbaw.dll
Status: 0xc0000034

File C:\WINDOWS\system32\vycdd.ini2 deleted successfully.


File C:\WINDOWS\system32\vtursrp.dll not found!
Deletion of file C:\WINDOWS\system32\vtursrp.dll failed!

Could not process line:
C:\WINDOWS\system32\vtursrp.dll
Status: 0xc0000034



File C:\WINDOWS\system32\cbxxxyv.dll not found!
Deletion of file C:\WINDOWS\system32\cbxxxyv.dll failed!

Could not process line:
C:\WINDOWS\system32\cbxxxyv.dll
Status: 0xc0000034



File C:\WINDOWS\system32\cbxvvtt.dll not found!
Deletion of file C:\WINDOWS\system32\cbxvvtt.dll failed!

Could not process line:
C:\WINDOWS\system32\cbxvvtt.dll
Status: 0xc0000034



File C:\WINDOWS\system32\urqroli.dll not found!
Deletion of file C:\WINDOWS\system32\urqroli.dll failed!

Could not process line:
C:\WINDOWS\system32\urqroli.dll
Status: 0xc0000034

File C:\WINDOWS\system32\vycdd.ini deleted successfully.


File C:\WINDOWS\system32\vycdd.tmp not found!
Deletion of file C:\WINDOWS\system32\vycdd.tmp failed!

Could not process line:
C:\WINDOWS\system32\vycdd.tmp
Status: 0xc0000034

File C:\WINDOWS\system32\vycdd.bak1 deleted successfully.


File C:\WINDOWS\system32\v6.exe not found!
Deletion of file C:\WINDOWS\system32\v6.exe failed!

Could not process line:
C:\WINDOWS\system32\v6.exe
Status: 0xc0000034

File C:\WINDOWS\system32\winvfv32.dll deleted successfully.
File C:\WINDOWS\system32\udial.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C} deleted successfully.


Could not delete registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|incestuously
Deletion of registry value HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|incestuously failed!
Status: 0xc0000034



Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C} failed!
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A203EE6B-DAA2-4F2F-BB08-0B664BDB751C} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifebba deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbue32 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winvfv32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Danke

#14 ««
avenger

Zitat

Files to delete:
C:\WINDOWS\system32\fccyvww.dll
C:\WINDOWS\Temp\__delete_on_reboot__w_i_n_1_E_._t_m_p_._e_x_e_

**
poste noch mal die 6 logs von datfindbat
__________
MfG Sabina

rund um die PC-Sicherheit

#15 system 32

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\system32

31.01.2007 22:48 447.497 nqstv.ini2
31.01.2007 22:33 450.658 nqstv.bak2
31.01.2007 22:32 24 erin.pfd
31.01.2007 22:32 88.566 nvapps.xml
31.01.2007 22:31 49.152 CompiledAdapter
31.01.2007 21:17 16 coh.cache
31.01.2007 21:17 56.424 EraserAHS.tlg
31.01.2007 19:05 451.443 nqstv.ini
31.01.2007 17:26 449.810 nqstv.tmp
31.01.2007 17:26 7.252 EraserAHS.log
31.01.2007 17:16 0 tmp.txt
31.01.2007 17:16 2.550 tmp.reg
31.01.2007 17:13 13.646 wpa.dbl
30.01.2007 19:18 44.165 ptloaugr.dll
30.01.2007 19:18 445.350 nqstv.bak1
30.01.2007 19:18 277.112 vtsqn.dll
30.01.2007 19:12 22.029 fccyvww.dll
28.01.2007 16:48 7.930 ikhcore.log
20.01.2007 02:00 2.722.304 logonuiX.exe
14.01.2007 17:14 330.688 FNTCACHE.DAT
04.01.2007 18:57 50 blue.SITENAME
04.01.2007 18:28 401.084 perfh009.dat
04.01.2007 18:28 61.224 perfc009.dat
04.01.2007 18:28 412.330 perfh007.dat
04.01.2007 18:28 72.214 perfc007.dat
04.01.2007 18:28 907.650 PerfStringBackup.INI
29.12.2006 21:25 48.776 S32EVNT1.DLL
01.12.2006 05:20 79.360 swxcacls.exe
07.11.2006 21:24 1.040.384 ieframe.dll.mui

systemtemp

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\DOKUME~1\neo1984\LOKALE~1\Temp

31.01.2007 22:33 512 ~DF263B.tmp
31.01.2007 22:33 65.536 ~DF25EB.tmp
31.01.2007 22:33 512 ~DF9A89.tmp
31.01.2007 22:33 65.536 ~DF9A75.tmp
31.01.2007 22:32 16.384 ~DFAD56.tmp
31.01.2007 22:30 18.004 7fa2_appcompat.txt
31.01.2007 22:29 52.012 5ba2_appcompat.txt
31.01.2007 19:16 16.384 ~DFE687.tmp
31.01.2007 17:13 16.384 ~DF98D4.tmp
9 Datei(en) 251.264 Bytes
0 Verzeichnis(se), 16.171.003.904 Bytes frei

sytem

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS

31.01.2007 22:32 24 LogonStudio.ini
31.01.2007 22:32 0 0.log
31.01.2007 22:31 159 wiadebug.log
31.01.2007 22:31 559.454 WindowsUpdate.log
31.01.2007 22:31 50 wiaservc.log
31.01.2007 22:31 2.048 bootstat.dat
31.01.2007 22:30 32.586 SchedLgU.Txt
31.01.2007 21:16 873.102 setupapi.log
31.01.2007 19:59 192.340 setupact.log
31.01.2007 18:22 54.156 QTFont.qfn
30.01.2007 19:04 895.542 ntbtlog.txt
29.01.2007 23:51 8.432 WGA.log
29.01.2007 23:51 18.590 ntdtcsetup.log
29.01.2007 23:51 119.291 iis6.log
29.01.2007 23:51 32.104 comsetup.log
29.01.2007 23:51 33.813 tsoc.log
29.01.2007 23:51 3.471 tabletoc.log
29.01.2007 23:51 1.374 imsins.log
29.01.2007 23:51 3.682 ocmsn.log
29.01.2007 23:51 7.283 KB898461.log
29.01.2007 23:51 5.109 MedCtrOC.log
29.01.2007 23:51 11.156 netfxocm.log
29.01.2007 23:51 43.500 ocgen.log
29.01.2007 23:51 3.468 msgsocm.log
29.01.2007 23:51 58.116 FaxSetup.log
29.01.2007 23:51 30.624 msmqinst.log
28.01.2007 01:41 616 eReg.dat
28.01.2007 01:30 69 NeroDigital.ini
26.01.2007 19:25 46.585 wmsetup.log
23.01.2007 21:59 1.409 QTFont.for
23.01.2007 19:39 1.289 VFO.INI
15.01.2007 17:04 17 MovingPicture.ini
14.01.2007 20:45 1.852 attach.log
14.01.2007 17:24 846 win.ini
14.01.2007 17:05 17.894 dasetup.log
14.01.2007 17:04 316.640 WMSysPr9.prx
14.01.2007 11:46 724.992 iun6002.exe

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\Temp

31.01.2007 22:31 16.384 Perflib_Perfdata_440.dat
31.01.2007 22:21 37.376 win82.tmp.exe
31.01.2007 21:55 232 deltemp.bat
31.01.2007 20:59 0 win28.tmp
31.01.2007 20:59 25.088 win27.tmp.exe
31.01.2007 20:59 1.163 win26.tmp
31.01.2007 18:59 0 win56D.tmp
31.01.2007 18:59 0 win56C.tmp
31.01.2007 18:59 1.164 win56B.tmp
31.01.2007 17:37 49.152 winB2.tmp.exe
31.01.2007 17:14 34.168 win26.tmp.exe
31.01.2007 16:58 1.047 win25.tmp
31.01.2007 16:56 0 win22.tmp
31.01.2007 16:56 0 win24.tmp
31.01.2007 16:56 0 win23.tmp
31.01.2007 16:56 0 win20.tmp
31.01.2007 16:54 0 win1E.tmp
31.01.2007 16:54 0 win16.tmp
31.01.2007 16:54 0 win14.tmp
31.01.2007 16:54 0 winB.tmp
30.01.2007 19:57 0 win11.tmp
30.01.2007 19:55 0 winD.tmp
30.01.2007 19:53 0 winC.tmp
30.01.2007 19:51 51.560 winB.tmp.exe
30.01.2007 19:18 16.384 Perflib_Perfdata_d90.dat
30.01.2007 19:13 0 win21.tmp
30.01.2007 19:13 0 win1F.tmp
30.01.2007 19:13 0 win1D.tmp
30.01.2007 19:13 0 win1C.tmp
30.01.2007 19:13 0 win1B.tmp
30.01.2007 19:13 0 win1A.tmp
30.01.2007 19:12 0 win19.tmp
30.01.2007 19:12 0 win18.tmp
30.01.2007 19:12 0 win17.tmp
30.01.2007 19:12 43 removalfile.bat
30.01.2007 19:12 0 win15.tmp
30.01.2007 19:12 0 win13.tmp
30.01.2007 19:12 1.047 win12.tmp
30.01.2007 19:10 0 winE.tmp
30.01.2007 19:10 0 winF.tmp
30.01.2007 19:10 0 win10.tmp
30.01.2007 18:50 32.768 ~DF1A0D.tmp
42 Datei(en) 267.576 Bytes
0 Verzeichnis(se), 16.171.028.480 Bytes frei

down

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.12.2006 18:19 2.072 vscanmsx.dat
20.12.2006 01:00 224 zdone.dat
20.12.2006 01:00 32 virscant.dat
20.12.2006 01:00 3.940.959 virscan9.dat
20.12.2006 01:00 1.650.979 virscan8.dat
20.12.2006 01:00 2.504 catalog.dat
20.12.2006 01:00 148 tinfidx.dat
20.12.2006 01:00 6.899 ecbootil.vxd
20.12.2006 01:00 5.396.298 virscan7.dat
20.12.2006 01:00 272.040 ecmsvr32.dll
20.12.2006 01:00 453 tinf.dat
20.12.2006 01:00 390.030 virscan6.dat
20.12.2006 01:00 728.804 tcscan9.dat
20.12.2006 01:00 3.086.703 virscan5.dat
20.12.2006 01:00 320.186 virscan4.dat
20.12.2006 01:00 147.296 virscan3.dat
20.12.2006 01:00 124.584 naveng32.dll
20.12.2006 01:00 882.344 navex32a.dll
20.12.2006 01:00 569.910 virscan2.dat
20.12.2006 01:00 323.242 tcscan8.dat
20.12.2006 01:00 974.242 virscan1.dat
20.12.2006 01:00 106.244 virscan.inf
20.12.2006 01:00 2.261 v.sig
20.12.2006 01:00 4.778 v.grd
20.12.2006 01:00 3.072 tscan1hd.dat
20.12.2006 01:00 64.048 tscan1.dat
20.12.2006 01:00 97.696 scrauth.dat
20.12.2006 01:00 1.172.076 tcscan7.dat
20.12.2006 01:00 9.237 symaveng.cat
20.12.2006 01:00 1.061 symaveng.inf
20.12.2006 01:00 187.543 tcdefs.dat
20.12.2006 01:00 1.957 tinfl.dat
08.08.2006 16:45 65 desktop.ini
26.07.2006 03:00 896 jinstall-1_5_0_08.inf
17.07.2006 17:20 557 OSDC7.OSD
11.07.2006 09:41 345.656 ewidoOnlineScan.dll
22.06.2006 10:41 5.032 swflash.inf
17.05.2006 14:32 161.480 rufsi.dll
17.05.2006 14:32 198.304 avsniffdlgs.dll
17.05.2006 14:32 231.072 avsniff.dll
17.05.2006 14:29 241 CabSA.inf
17.05.2006 14:29 878 avsniff.inf
17.05.2006 14:28 201.896 navapi32.dll
17.05.2006 14:28 6.850 navapi.vxd
17.05.2006 14:26 42.112 ecmldr32.dll
17.05.2006 14:26 537.704 AXXPEE.dll

sys

Zitat

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A97C-82C3

Verzeichnis von C:\

31.01.2007 22:52 0 sys.txt
31.01.2007 22:51 2.902 down.txt
31.01.2007 22:50 2.252 tmp.txt
31.01.2007 22:50 9.104 system.txt
31.01.2007 22:49 694 systemtemp.txt
31.01.2007 22:48 111.780 system32.txt
31.01.2007 22:36 10.602 avenger.txt
31.01.2007 22:31 1.207.959.552 pagefile.sys
31.01.2007 17:18 1.110 rapport.txt
31.01.2007 17:10 4.306 ptaxmkco.txt
31.01.2007 16:55 45 TEST.XML
30.01.2007 18:57 787 VundoFix.txt
30.01.2007 17:11 16.273 ComboFix.txt
22.01.2007 17:08 27.262.976 VIRTPART.DAT
20.01.2007 01:37 353 boot.ini
20.01.2007 01:26 478 boot.bed
04.01.2007 18:17 87 AUTOEXEC.BAT
31.12.2006 01:54 53 MSDOS.SYS
27.12.2006 16:28 4.306 _NavCClt.Log
08.08.2006 16:46 0 IO.SYS
08.08.2006 16:46 0 CONFIG.SYS
08.08.2006 16:40 211 BOOT.BKK
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 47.564 NTDETECT.COM
25 Datei(en) 1.235.691.571 Bytes
0 Verzeichnis(se), 16.171.028.480 Bytes frei