entfernen von bootini.exe. posten von hijackthis.log

#16 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fix.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop]
"NoChangingWallPaper"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{2D1C37C7-62C9-446E-B0A5-EAF400EBD6F7}"=-
"{42D3BDE2-D5CA-4F92-BA2B-FBA57A8F4A6E}"=-
"{513280BE-80BF-42B8-8A9A-582A59F57231}"=-
"{B3B25B02-519A-4935-94DF-DFA5BBE349E2}"=-
"{407F94E7-D2C3-44A9-A7E6-31972A549EA3}"=-
"{A84D0263-9803-4AE0-A2FB-7357BA55F23B}"=-

[-HKEY_CLASSES_ROOT\CLSID\{2D1C37C7-62C9-446E-B0A5-EAF400EBD6F7}]
[-HKEY_CLASSES_ROOT\CLSID\{42D3BDE2-D5CA-4F92-BA2B-FBA57A8F4A6E}]
[-HKEY_CLASSES_ROOT\CLSID\{513280BE-80BF-42B8-8A9A-582A59F57231}]
[-HKEY_CLASSES_ROOT\CLSID\{B3B25B02-519A-4935-94DF-DFA5BBE349E2}]
[-HKEY_CLASSES_ROOT\CLSID\{407F94E7-D2C3-44A9-A7E6-31972A549EA3}]
[-HKEY_CLASSES_ROOT\CLSID\{A84D0263-9803-4AE0-A2FB-7357BA55F23B}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

kopiere in den Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A8B28872-3324-4CD2-8AA3-7D555C872D96}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8B28872-3324-4CD2-8AA3-7D555C872D96}

Files to delete:
C:\WINDOWS\SYSTEM32\perfst~1.tmp
C:\WINDOWS\system32\dxocx.dll
C:\WINDOWS\system32\mxvfw32.dll
C:\WINDOWS\system32\uhdmxfrm.dll
C:\WINDOWS\system32\sse.dll
C:\WINDOWS\system32\clmpstui.dll
C:\WINDOWS\system32\fpusd.dll
C:\WINDOWS\system32\cspjb.exe

---------------------------------

scanne noch mal mit l2mfix - option 1 und 2 und poste beide scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit

#17 mahlzeit!!

erledigt wie befohlen:

l2mfix:

L2MFIX find log 1.03
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"="BitDefender Antivirus v7"
"{BB7DF450-F119-11CD-8465-00AA00425D90}"="Microsoft Access Custom Icon Handler"
"{59850401-6664-101B-B21C-00AA004BA90B}"="Microsoft Office Sammelmappen-Teiler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{01945296-99E6-4CE0-B58E-13F0261B381D}"="PDF Toolbox Context Menu Shell Extension"
"{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}"="Context Menu Shell Extension"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
pncrt.dll Sun 28 Jan 2007 23:11:28 A.... 278.528 272,00 K
pndx5016.dll Sun 28 Jan 2007 23:11:28 A.... 6.656 6,50 K
pndx5032.dll Sun 28 Jan 2007 23:11:28 A.... 5.632 5,50 K
rmoc3260.dll Sun 28 Jan 2007 23:11:34 A.... 185.952 181,59 K

4 items found: 4 files, 0 directories.
Total of file sizes: 476.768 bytes 465,59 K
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\System32

13.01.2007 19:18 <DIR> dllcache
23.02.2005 00:10 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 27.023.585.280 Bytes frei


"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************


hoffentlich ist jetzt mal ein ENDE in sicht! ...??

beste grüße
stanleyQ

#18

Zitat

hoffentlich ist jetzt mal ein ENDE in sicht! ...??

du kannst von glueck sprechen, dass ich mich ueberhaupt mit deinem total kompromitierten und verseuchten Rechner abgebe - formatieren waere allemal das vernuenftigste gewesen

scanne , stelle alles gefundene auf loeschen - und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#19 hi!
ja, ich weiß, trotzdem lasse ich mir gern von dir helfen... ;-]

also, dieser reg-eintrag {A8B28872-3324-4CD2-8AA3-7D555C872D96}
ist immer noch da...

AVG spuckt folgendes aus:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 16:32:45 13.02.2007

+ Scan-Ergebnis:



C:\Programme\Look2meRemoval\l2mfix\backup.zip/cuedui.dll -> Adware.Look2Me : Keine Aktion durchgeführt.
C:\Programme\Look2meRemoval\l2mfix\backup.zip/dIdrm.dll -> Adware.Look2Me : Keine Aktion durchgeführt.
C:\Programme\Look2meRemoval\l2mfix\backup.zip/dfcpsapi.dll -> Adware.Look2Me : Keine Aktion durchgeführt.
C:\Programme\Look2meRemoval\l2mfix\backup.zip/iexwan.dll -> Adware.Look2Me : Keine Aktion durchgeführt.
C:\Programme\Look2meRemoval\l2mfix\backup.zip/lv2209foe.dll -> Adware.Look2Me : Keine Aktion durchgeführt.
C:\Programme\Look2meRemoval\l2mfix\backup.zip/rFsser.dll -> Adware.Look2Me : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8B28872-3324-4CD2-8AA3-7D555C872D96} -> Adware.Softomate : Keine Aktion durchgeführt.
C:\neue musik vom Seb\sound forge7.0\sforge_noise_reduction.zip/sforge_noise_reduction/cracks/uer_sfnr20a.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Keine Aktion durchgeführt.
C:\neue musik vom Seb\sound forge7.0\sforge_noise_reduction\cracks\uer_sfnr20a.exe -> Not-A-Virus.VirTool.Win32.AvSpoffer.a : Keine Aktion durchgeführt.
:mozilla.72:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
:mozilla.87:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Adition : Keine Aktion durchgeführt.
:mozilla.77:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
:mozilla.78:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
:mozilla.76:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Advertising : Keine Aktion durchgeführt.
:mozilla.48:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
:mozilla.11:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Esomniture : Keine Aktion durchgeführt.
:mozilla.19:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.22:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.23:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.24:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.25:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.26:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.49:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.50:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.51:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.52:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
:mozilla.55:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
:mozilla.73:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.74:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.
:mozilla.31:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
:mozilla.90:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Sitestat : Keine Aktion durchgeführt.
:mozilla.60:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Tradedoubler : Keine Aktion durchgeführt.
:mozilla.91:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
:mozilla.92:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Webtrendslive : Keine Aktion durchgeführt.
:mozilla.38:C:\Dokumente und Einstellungen\Bine\Anwendungsdaten\Mozilla\Firefox\Profiles\6t0dfq8z.default\cookies.txt -> TrackingCookie.Yieldmanager : Keine Aktion durchgeführt.


::Berichtende




mmmh...!?

grüße
stanleyQ

#20 1.
loesche:
C:\Programme\Look2meRemoval\l2mfix\backup.zip + leere den Papierkorb

2.
loesche in der registry
{A8B28872-3324-4CD2-8AA3-7D555C872D96}

3.
Avenger

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8B28872-3324-4CD2-8AA3-7D555C872D96}

3.
AVG Anti-Spyware


4.
scanne und poste den scanreport
Look2Me-Destroyer V1.0.5
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#21 hi sabina!

also, die reg {A8B28872-3324-4CD2-8AA3-7D555C872D96} ist immer wieder da, auch nach dem vermeintlich erfolgreichen löschen mit AVG und dem runterfahren und wieder hochfahren nach dem look2medestroyer:

Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 14.02.2007 11:44:05


Attempting to delete infected files...

Making registry repairs.


Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded


grüße
stanleyQ

#22 stanleyQ

http://virus-protect.org/artikel/tools/regsearch.html

{A8B28872-3324-4CD2-8AA3-7D555C872D96}

poste, was in der registry gefunden wird

--------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\Windows\system32\config" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#23 hi sabina!


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 15.02.2007 13:48:09 for strings:
; '{a8b28872-3324-4cd2-8aa3-7d555c872d96}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...



Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Desktop

13.02.2007 15:52 <DIR> .
13.02.2007 15:52 <DIR> ..
12.11.2006 15:35 1.719 AntiVir PE Classic.lnk
13.02.2007 15:52 721 AVG Anti-Spyware.lnk
18.07.2005 17:52 633 Click to Convert 5.lnk
06.07.2005 18:17 1.566 Mozilla Firefox.lnk
06.07.2005 18:17 1.632 Mozilla Thunderbird.lnk
07.02.2007 22:29 1.367 NFix_2007-02-07_22-06-47.log
02.02.2006 18:56 1.450 webLCR.lnk
7 Datei(en) 9.088 Bytes
2 Verzeichnis(se), 26.970.923.008 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Dokumente und Einstellungen\Tobi\Desktop

15.02.2007 13:51 <DIR> .
15.02.2007 13:51 <DIR> ..
07.07.2005 11:48 104 Arbeitsplatz.lnk
23.02.2005 01:45 598 CDEX.lnk
13.02.2007 13:59 1.112 fix.reg
14.02.2007 18:12 <DIR> GSO
08.01.2006 16:00 49.571 Linie 620.pdf
15.02.2007 13:51 1.072 listen.bat
14.02.2007 11:16 40.960 Look2Me-Destroyer.exe
14.02.2007 11:47 330 Look2Me-Destroyer.txt
09.10.2006 12:53 20.480 ms32removal.doc
15.02.2007 13:47 1.696 NetCologne DSL-Verbindungsmonitor.lnk
08.01.2007 16:09 19.456 othop„die.doc
18.07.2005 17:52 640 PDF Toolbox.lnk
10.01.2007 12:11 247.225 pe21d.pdf
06.07.2005 19:34 1.330 restorealldisplaytabs.reg
12.11.2006 15:39 905 Spybot - Search & Destroy.lnk
28.12.2006 21:04 368.128 Stromberg-Sprueche1.pps
24.03.2006 18:20 65.259 s_Linie_16.pdf
29.09.2005 21:57 705 Tag&Rename beta version.lnk
23.02.2005 02:15 696 TOTALCMD.lnk
04.02.2007 21:59 27.136 virenforum.doc
03.06.2005 15:25 808 Winamp.lnk
20 Datei(en) 848.211 Bytes
3 Verzeichnis(se), 26.970.918.912 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Windows\System32\Com

13.01.2007 19:13 <DIR> .
13.01.2007 19:13 <DIR> ..
04.08.2004 00:57 195.584 comadmin.dll
18.08.2001 20:00 61.440 comempty.dat
18.08.2001 20:00 77.348 comexp.msc
04.08.2004 00:57 9.728 comrepl.exe
18.08.2001 20:00 5.120 comrereg.exe
18.08.2001 20:00 19.456 mtsadmin.tlb
6 Datei(en) 368.676 Bytes
2 Verzeichnis(se), 26.970.918.912 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Windows\system32\config

22.02.2005 23:23 <DIR> .
22.02.2005 23:23 <DIR> ..
14.02.2007 18:42 524.288 AppEvent.Evt
14.02.2007 18:42 786.432 default
23.02.2005 00:01 94.208 default.sav
14.02.2007 18:42 262.144 SAM
22.02.2005 23:02 65.536 SecEvent.Evt
14.02.2007 18:42 262.144 SECURITY
14.02.2007 18:42 14.155.776 software
23.02.2005 00:01 630.784 software.sav
14.02.2007 18:42 524.288 SysEvent.Evt
15.02.2007 12:03 5.242.880 system
23.02.2005 00:01 417.792 system.sav
22.02.2005 23:18 <DIR> systemprofile
23.02.2005 00:01 262.144 userdiff
12 Datei(en) 23.228.416 Bytes
3 Verzeichnis(se), 26.970.918.912 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 16:10 135.168 asinst.dll
03.04.2006 10:00 537 asinst.inf
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
4 Datei(en) 137.564 Bytes
0 Verzeichnis(se), 26.970.914.816 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Dokumente und Einstellungen\Tobi\Lokale Einstellungen\Temporary Internet Files\Content.IE5

15.02.2007 13:44 32.768 index.dat
1 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 26.970.914.816 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Dokumente und Einstellungen\Tobi\Lokale Einstellungen\Temp

15.02.2007 13:49 <DIR> .
15.02.2007 13:49 <DIR> ..
14.02.2007 18:08 <DIR> Adobe
14.02.2007 11:04 16.384 Perflib_Perfdata_47c.dat
15.02.2007 13:44 16.384 Perflib_Perfdata_7b0.dat
12.02.2007 14:45 <DIR> plugtmp
13.02.2007 18:24 893 TWAIN.LOG
13.02.2007 18:24 2 Twain001.Mtx
13.02.2007 18:24 156 Twunk001.MTX
13.02.2007 18:24 0 Twunk002.MTX
12.02.2007 14:36 <DIR> VBE
14.02.2007 11:43 <DIR> WAS2214.tmp
14.02.2007 11:04 <DIR> WASF7FD.tmp
14.02.2007 11:43 16.384 ~DF637.tmp
7 Datei(en) 50.203 Bytes
7 Verzeichnis(se), 26.970.914.816 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\Temp

15.02.2007 13:44 <DIR> .
15.02.2007 13:44 <DIR> ..
13.02.2007 16:43 <DIR> tmp000002e0
12.02.2007 15:40 <DIR> tmp000004aa
14.02.2007 17:58 <DIR> tmp00000ad2
13.02.2007 14:06 <DIR> tmp00000b18
13.02.2007 14:11 <DIR> tmp00000e83
14.02.2007 12:29 <DIR> tmp00000e94
13.02.2007 17:00 <DIR> tmp00000ff6
12.02.2007 21:30 <DIR> tmp000010e3
12.02.2007 10:28 <DIR> tmp000015ef
11.02.2007 15:03 <DIR> tmp00001a1c
14.02.2007 10:04 <DIR> tmp00002036
13.02.2007 14:34 <DIR> tmp0000207d
12.02.2007 21:54 <DIR> tmp000022d3
13.02.2007 14:56 <DIR> tmp0000317a
13.02.2007 14:59 <DIR> tmp0000334a
12.02.2007 19:38 <DIR> tmp00003adf
13.02.2007 17:56 <DIR> tmp00003b70
13.02.2007 15:12 <DIR> tmp00003d5e
13.02.2007 15:16 <DIR> tmp000040af
15.02.2007 12:05 <DIR> tmp00004a51
11.02.2007 16:07 <DIR> tmp00004b1b
14.02.2007 11:02 <DIR> tmp00004c15
13.02.2007 12:45 <DIR> tmp00004cb4
13.02.2007 15:33 <DIR> tmp00004dd2
12.02.2007 14:36 <DIR> tmp00005406
13.02.2007 07:21 <DIR> tmp00005528
13.02.2007 15:45 <DIR> tmp000056d7
14.02.2007 11:29 <DIR> tmp0000611a
12.02.2007 17:47 <DIR> tmp000065f8
11.02.2007 16:44 <DIR> tmp0000677a
14.02.2007 11:43 <DIR> tmp00006b62
12.02.2007 12:30 <DIR> tmp00007379
13.02.2007 13:47 <DIR> tmp00007c8a
14.02.2007 12:08 <DIR> tmp00007e7b
14.02.2007 11:44 16.384 ~DF8E64.tmp
14.02.2007 11:18 16.384 ~DFEAC3.tmp
2 Datei(en) 32.768 Bytes
36 Verzeichnis(se), 26.970.914.816 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Programme

15.02.2007 13:45 <DIR> .
15.02.2007 13:45 <DIR> ..
14.06.2005 18:12 <DIR> @@@@@@ totalcmd 6.0 @@@@@@
23.02.2005 01:20 <DIR> ACDsee32 v3.0 Win9xNT
23.02.2005 01:55 <DIR> ACE Mega CoDecS Pack
06.02.2005 15:35 1.524.843 ad aware 6.exe
02.02.2007 16:05 <DIR> Ad-aware 6
23.02.2005 01:20 <DIR> Adobe
23.02.2005 01:34 <DIR> Ahead
04.02.2007 13:16 <DIR> AntiVir PersonalEdition Classic
21.09.2005 23:33 <DIR> Asio
15.05.2005 15:18 <DIR> Astonsoft
23.02.2005 02:32 <DIR> ATI
23.02.2005 02:04 <DIR> ATI Technologies
14.02.2007 10:59 <DIR> Avenger
14.02.2007 18:22 <DIR> AVG Anti-Spyware 7.5
12.02.2007 15:48 <DIR> BFU
12.02.2007 15:47 62.862 bfu.zip
23.02.2005 01:34 <DIR> Bildle
23.02.2005 01:34 <DIR> Blastgui (blastera-killer)
14.07.2005 18:35 8.388.079 c2c_pdftoolbox.exe
09.01.2007 12:27 <DIR> CDex
07.02.2006 15:22 <DIR> CDisplay(cbr-Viewer)
23.02.2005 02:14 <DIR> CDRWIN
06.02.2007 16:12 <DIR> CleanUp!
09.01.2007 12:37 <DIR> Clearprog-Browserspuren-L”scher
18.07.2005 17:54 <DIR> ClickToConvert
21.09.2005 23:34 <DIR> Cubase Demo
09.01.2007 12:39 <DIR> DatFind-Dat-Killer
23.02.2005 01:34 <DIR> DivX-Zeugs
09.01.2007 12:01 <DIR> DLL-Killer!!!!!!
14.07.2005 18:45 3.068.160 doc2pdf_setup.exe
23.02.2005 02:06 <DIR> Download AcceleratorPlus
23.02.2005 02:06 <DIR> DT
24.01.2007 22:19 <DIR> Elster
24.01.2007 22:20 <DIR> ElsterFormular
11.02.2007 15:12 <DIR> Gemeinsame Dateien
12.02.2007 21:59 <DIR> HiJackThis-W32-FMN-Killer
23.02.2005 02:06 <DIR> ICQ
13.01.2007 19:18 <DIR> Internet Explorer
21.02.2006 14:12 <DIR> Java
12.11.2006 15:45 <DIR> Kaspersky
12.11.2006 16:53 <DIR> Kaspersky Lab
14.07.2005 18:57 16.824.400 LEADTOOLSePrintEval.exe
09.10.2006 13:04 <DIR> Look2meRemoval
10.07.2005 17:27 <DIR> Macromedia Flash Player7
13.01.2007 19:18 <DIR> Messenger
23.02.2005 02:06 <DIR> MGI
22.02.2005 23:16 <DIR> microsoft frontpage
10.07.2005 16:04 <DIR> Microsoft Office
13.01.2007 19:18 <DIR> Movie Maker
21.02.2006 13:16 <DIR> Mozilla Firefox
06.07.2005 19:21 <DIR> Mozilla Thunderbird
30.09.2005 18:47 <DIR> MP3Gain
22.02.2005 23:12 <DIR> MSN
22.02.2005 23:11 <DIR> MSN Gaming Zone
13.01.2007 19:35 <DIR> NetCologne
13.01.2007 19:13 <DIR> NetMeeting
23.02.2005 02:11 <DIR> OLYMPUS
22.02.2005 23:12 <DIR> Online Services
22.02.2005 23:14 <DIR> Online-Dienste
14.07.2005 18:52 67.850.752 Open Office v1.1.0 Win32Intel install deutsch.zip
13.01.2007 19:13 <DIR> Outlook Express
14.07.2005 20:00 <DIR> PaintShopPro v7.0
13.06.2005 18:25 <DIR> Pandasoft Online Scan Report
09.01.2007 12:27 <DIR> PDF Toolbox
23.02.2005 01:40 <DIR> PowerDVD
14.07.2005 18:31 5.264.896 ps2pdf995.exe
12.02.2007 15:49 <DIR> Qoofix
11.02.2007 17:30 85.635 Qoofix.zip
09.01.2007 12:27 <DIR> QuickTime
23.02.2005 02:06 <DIR> Real
15.02.2007 13:48 <DIR> RegSearch
11.02.2007 15:09 328.521 regsearch.zip
15.02.2007 13:45 <DIR> RegSrch
06.02.2007 16:26 <DIR> servicefilter
06.02.2007 16:24 13.518 ServiceFilter.zip
09.10.2006 12:46 <DIR> SmitREM
14.06.2005 16:42 <DIR> Softwin
14.02.2007 11:34 <DIR> Spybot - Search & Destroy
23.02.2005 00:50 <DIR> Spybot(zipped)
23.09.2006 14:57 5.037.072 spybotsd14 HAUPTPROGRAMM.exe
29.09.2005 21:58 <DIR> Tag & Rename
28.08.2005 12:07 <DIR> Treiber & Codecs
23.02.2005 01:40 <DIR> VLC PLayer
06.02.2007 16:05 <DIR> webLCR
09.01.2007 12:27 <DIR> Wik And The Fable Of Souls
09.01.2007 12:27 <DIR> Winamp
13.01.2007 19:20 <DIR> Windows Media Player
10.07.2005 16:03 <DIR> Windows Messaging
13.01.2007 19:13 <DIR> Windows NT
11.02.2007 15:15 <DIR> WinPFind
11.02.2007 15:09 204.131 WinPFind.zip
23.02.2005 02:19 <DIR> WinZip
22.02.2005 23:16 <DIR> xerox
26.12.2005 21:38 <DIR> zzzsebsRW
12 Datei(en) 108.652.869 Bytes
84 Verzeichnis(se), 26.970.898.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Dokumente und Einstellungen\Tobi\Lokale Einstellungen\Anwendungsdaten

07.07.2005 15:48 <DIR> Adobe
13.02.2007 18:01 50.688 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
13.01.2007 19:28 18.624 GDIPFONTCACHEV1.DAT
28.01.2007 23:11 <DIR> Google
22.02.2005 23:51 <DIR> Help
16.03.2005 21:19 <DIR> Identities
13.01.2007 19:19 <DIR> Microsoft
2 Datei(en) 69.312 Bytes
5 Verzeichnis(se), 26.970.906.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten

07.07.2005 15:48 <DIR> Adobe
07.07.2005 15:48 <DIR> AdobeUM
15.05.2005 16:27 <DIR> DeepBurner
22.02.2005 23:51 <DIR> Help
22.02.2005 23:26 <DIR> Identities
10.07.2005 17:28 <DIR> Macromedia
06.07.2005 18:21 <DIR> Mozilla
28.01.2007 23:17 <DIR> Real
21.02.2006 14:12 <DIR> Sun
06.07.2005 19:21 <DIR> Thunderbird
0 Datei(en) 0 Bytes
10 Verzeichnis(se), 26.970.906.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

09.01.2007 12:55 305 addr_file.html
30.01.2007 14:18 <DIR> AntiVir PersonalEdition Classic
12.11.2006 16:53 <DIR> Kaspersky Anti-Virus Personal
12.11.2006 15:40 <DIR> Spybot - Search & Destroy
1 Datei(en) 305 Bytes
3 Verzeichnis(se), 26.970.906.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\Programme\Gemeinsame Dateien

11.02.2007 15:12 <DIR> .
11.02.2007 15:12 <DIR> ..
28.05.2005 23:56 <DIR> Adobe
28.02.2006 21:42 <DIR> Ahead
22.02.2005 23:13 <DIR> Dienste
23.02.2005 01:53 <DIR> InstallShield
21.02.2006 13:18 <DIR> Java
10.07.2005 16:04 <DIR> Microsoft Shared
22.02.2005 23:13 <DIR> MSSoap
13.01.2007 18:56 <DIR> NetCologne
22.02.2005 23:03 <DIR> ODBC
28.01.2007 23:11 <DIR> Real
14.06.2005 16:42 <DIR> Softwin
22.02.2005 23:03 <DIR> SpeechEngines
13.01.2007 19:13 <DIR> System
28.01.2007 23:11 <DIR> xing shared
0 Datei(en) 0 Bytes
16 Verzeichnis(se), 26.970.906.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB




also, AVG hat gerade auch nix mehr gefunden, bin allerdings noch vor 15 min. aus dem netz geworfen worden, keine wiedereinwahl möglich, das übliche halt...
komisch, ... nur leider nicht lustig, oder?!

grüße
stanleyQ

#24 noch mal:
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#25 hi!

also, nochmal:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\system32

28.01.2007 23:11 185.952 rmoc3260.dll
28.01.2007 23:11 6.656 pndx5016.dll
28.01.2007 23:11 5.632 pndx5032.dll
28.01.2007 23:11 278.528 pncrt.dll
27.01.2007 12:57 2.206 wpa.dbl
13.01.2007 19:27 255 spupdwxp.log
13.01.2007 19:25 110.192 FNTCACHE.DAT
09.01.2007 12:08 0 present1.txt
09.01.2007 12:08 0 present.txt


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\DOKUME~1\Tobi\LOKALE~1\Temp

15.02.2007 14:49 893 TWAIN.LOG
15.02.2007 14:49 2 Twain001.Mtx
15.02.2007 14:49 156 Twunk001.MTX
15.02.2007 13:55 16.384 Perflib_Perfdata_428.dat
14.02.2007 11:43 16.384 ~DF637.tmp
14.02.2007 11:04 16.384 Perflib_Perfdata_47c.dat
13.02.2007 18:24 0 Twunk002.MTX
7 Datei(en) 50.203 Bytes
0 Verzeichnis(se), 26.929.655.808 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS

15.02.2007 15:47 124.786 WindowsUpdate.log
15.02.2007 15:47 32.616 SchedLgU.Txt
15.02.2007 15:40 1.419 WINCMD.INI
15.02.2007 14:49 354 wiadebug.log
15.02.2007 14:49 50 wiaservc.log
15.02.2007 13:55 0 0.log
15.02.2007 13:53 2.048 bootstat.dat
14.02.2007 12:48 192 winamp.ini
13.02.2007 15:28 8.970.976 ntbtlog.txt
04.02.2007 21:42 5.820 xpsp1hfm.log
04.02.2007 21:42 3.886 KB828741.log
03.02.2007 16:05 1.024 ppengine.ini
01.02.2007 21:54 28 Tobi.acl
30.01.2007 15:47 977.824 setupapi.log
24.01.2007 22:22 253 tm.ini
24.01.2007 22:22 35 tdf.dii
20.01.2007 10:37 28 Bine.acl
17.01.2007 08:54 2.133 wmsetup.log
14.01.2007 10:59 1.864 OEWABLog.txt
13.01.2007 19:29 32 wininit.ini
13.01.2007 19:29 29.144 spupdsvc.log
13.01.2007 19:29 2.272 netcfg.log
13.01.2007 19:29 360 DtcInstall.log
13.01.2007 19:29 316.640 WMSysPr9.prx
13.01.2007 19:28 176.723 iis6.log
13.01.2007 19:28 47.384 comsetup.log
13.01.2007 19:28 28.296 ntdtcsetup.log
13.01.2007 19:28 56.858 tsoc.log
13.01.2007 19:28 3.743 medctroc.Log
13.01.2007 19:28 4.696 imsins.log
13.01.2007 19:28 6.136 tabletoc.log
13.01.2007 19:28 4.963 ocmsn.log
13.01.2007 19:28 72.772 ocgen.log
13.01.2007 19:28 5.910 msgsocm.log
13.01.2007 19:28 103.554 FaxSetup.log
13.01.2007 19:28 19.539 netfxocm.log
13.01.2007 19:28 43.786 msmqinst.log
13.01.2007 19:23 12.629 awprotoc.txt
13.01.2007 19:23 1.374 imsins.BAK
13.01.2007 19:23 430.365 svcpack.log
13.01.2007 19:20 200 cmsetacl.log
13.01.2007 19:20 768.617 setuplog.txt
13.01.2007 19:20 1.259 win.ini
13.01.2007 19:19 1.330 sessmgr.setup.log
13.01.2007 18:58 61 awerror.txt
10.01.2007 14:50 100.994 ModemLog_TI 56000 Voice Modem.txt
10.01.2007 14:20 483 oleco.ini
09.01.2007 13:49 2.850 system.ini
19.12.2006 22:13 10.240 Thumbs.db
19.12.2006 22:13 49 NeroDigital.ini



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\temp

14.02.2007 11:44 16.384 ~DF8E64.tmp
14.02.2007 11:18 16.384 ~DFEAC3.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 26.929.651.712 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 16:10 135.168 asinst.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\

15.02.2007 15:58 0 sys.txt
15.02.2007 15:58 533 down.txt
15.02.2007 15:58 325 tmp.txt
15.02.2007 15:58 6.730 system.txt
15.02.2007 15:58 611 systemtemp.txt
15.02.2007 15:58 114.702 system32.txt
15.02.2007 13:54 32.191 files.txt
15.02.2007 13:53 144 lo2.txt
15.02.2007 13:53 805.306.368 pagefile.sys
14.02.2007 11:00 1.264 avenger.txt
11.02.2007 15:12 24.359 ComboFix.txt
11.02.2007 15:08 880.702 combofix.exe
06.02.2007 16:11 339.257 CleanUp452.exe
13.01.2007 19:20 211 boot.ini
13.01.2007 19:09 47.564 NTDETECT.COM
13.01.2007 19:09 251.184 ntldr
09.01.2007 12:08 1.274 smitfiles.txt
09.01.2007 12:06 13.322 smitfrau.reg

bitte sehr.
grüße
stanleyQ

#26 1.
wende noch mal option 1 und 2 an und poste beide reporte
L2mfix
http://virus-protect.org/l2mfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 hi sabina!

here it comes:

L2MFIX find log 1.03
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"sv1"=""

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f�r Multimediadatei"
"{176d6597-26d3-11d1-b350-080036a75b03}"="ICM-Scannerverwaltung"
"{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS-Sicherheit"
"{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE-Eigenschaftenseite f�r Dokumente"
"{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension"
"{42071712-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Grafikkarten"
"{42071713-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Bildschirme"
"{42071714-76d4-11d1-8b24-00a0c9068ff3}"="CPL-Erweiterung f�r Anzeigeverschiebung"
"{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS-Sicherheit"
"{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Kompatibilit„tsseite"
"{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell-Datenauszughandler"
"{59099400-57FF-11CE-BD94-0020AF85B590}"="Erweiterung f�r Datentr„gerkopien"
"{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shellerweiterungen f�r Microsoft Windows-Netzwerkobjekte"
"{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM-Monitorverwaltung"
"{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM-Druckerverwaltung"
"{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shellerweiterungen f�r die Dateikomprimierung"
"{77597368-7b15-11d0-a0c2-080036af3f03}"="Shellerweiterung f�r Webdrucker"
"{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI"
"{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Kontextmen� f�r die Verschl�sselung"
"{85BBD920-42A0-1069-A2E4-08002B30309D}"="Aktenkoffer"
"{88895560-9AA2-1069-930E-00AA0030EBC8}"="Erweiterung f�r HyperTerminal-Icons"
"{BD84B380-8CA2-1069-AB1D-08000948F534}"="Schriftarten"
"{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC-Profil"
"{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Druckersicherheit"
"{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shellerweiterungen f�r Freigaben"
"{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension"
"{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-PKO-Erweiterung"
"{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Krypto-Sign-Erweiterung"
"{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Netzwerkverbindungen"
"{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Netzwerkverbindungen"
"{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanner und Kameras"
"{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanner und Kameras"
"{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanner und Kameras"
"{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanner und Kameras"
"{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanner und Kameras"
"{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension"
"{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension"
"{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shellerweiterungen f�r Windows Script Host"
"{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Datenverkn�pfung"
"{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler"
"{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension"
"{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Geplante Tasks"
"{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskleiste und Startmen�"
"{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Suchen"
"{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Hilfe und Support"
"{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Ausf�hren..."
"{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet"
"{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-Mail"
"{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Schriftarten"
"{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Verwaltung"
"{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler"
"{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler"
"{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler"
"{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler"
"{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler"
"{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor"
"{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar"
"{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status"
"{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder"
"{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2"
"{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy"
"{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand"
"{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band"
"{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band"
"{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search"
"{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search"
"{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility"
"{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Adresse"
"{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox"
"{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete"
"{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor"
"{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List"
"{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List"
"{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible"
"{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar"
"{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Syntaxanalyse der Adressleiste"
"{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List"
"{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List"
"{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container"
"{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu"
"{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp"
"{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar"
"{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite"
"{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist"
"{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings"
"{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band"
"{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service"
"{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer"
"{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture"
"{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut"
"{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft URL-Verlauf-Dienst"
"{FF393560-C2A7-11CF-BFF4-444553540000}"="Verlauf"
"{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files"
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Sucheingriff"
"{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite-Begr�áungsbildschirm"
"{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook"
"{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC"
"{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC"
"{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="Internet"
"{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space"
"{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer-Band"
"{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service"
"{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX-Cacheordner"
"{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck"
"{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr"
"{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder"
"{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler"
"{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent"
"{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent"
"{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent"
"{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent"
"{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent"
"{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler"
"{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager"
"{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator"
"{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher"
"{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs"
"{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory"
"{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ Dateiminiaturansicht-Extrahierungsprogramm"
"{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Zusammenfassungs-Miniaturansichthandler (DOCFILES)"
"{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML-Extrahierungsprogramm"
"{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler"
"{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Webpublishing-Assistent"
"{add36aa8-751a-4579-a266-d66f5202ccbb}"="Bestellung von Abz�gen �ber das Internet"
"{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shellobjekt des Webpublishing-Assistenten"
"{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Passport-Assistent"
"{7A9D77BD-5403-11d2-8785-2E0420524153}"="Benutzerkonten"
"{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler"
"{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target"
"{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channeldatei"
"{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channelverkn�pfung"
"{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channelhandlerobjekt"
"{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu"
"{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties"
"{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview"
"{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext"
"{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control"
"{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control"
"{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control"
"{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control"
"{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control"
"{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI"
"{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object"
"{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find"
"{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find"
"{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI"
"{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs"
"{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook"
"{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target"
"{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties"
"{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu"
"{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options"
"{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Ordner 'Offlinedateien'"
"{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler"
"{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell"
"{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%"
"{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler"
"{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer"
"{32714800-2E5F-11d0-8B85-00AA0044F941}"="&Nach Personen..."
"{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler"
"{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler"
"{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler"
"{E0D79304-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79305-84BE-11CE-9641-444553540000}"="WinZip"
"{E0D79306-84BE-11CE-9641-444553540000}"="WinZip"
"{D653647D-D607-4DF6-A5B8-48D2BA195F7B}"="BitDefender Antivirus v7"
"{BB7DF450-F119-11CD-8465-00AA00425D90}"="Microsoft Access Custom Icon Handler"
"{59850401-6664-101B-B21C-00AA004BA90B}"="Microsoft Office Sammelmappen-Teiler"
"{0006F045-0000-0000-C000-000000000046}"="Microsoft Outlook Custom Icon Handler"
"{01945296-99E6-4CE0-B58E-13F0261B381D}"="PDF Toolbox Context Menu Shell Extension"
"{7C5E74A0-D5E0-11D0-A9BF-E886A83B9BE5}"="Context Menu Shell Extension"
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"="Shell Extension for Malware scanning"
"{2559a1f7-21d7-11d4-bdaf-00c04f60b9f0}"="Set Program Access and Defaults"
"{596AB062-B4D2-4215-9F74-E9109B0A8153}"="Previous Versions Property Page"
"{9DB7A13C-F208-4981-8353-73CC61AE2783}"="Previous Versions"
"{692F0339-CBAA-47e6-B5B5-3B84DB604E87}"="Extensions Manager Folder"
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}"="Shell Extensions for RealOne Player"

**********************************************************************************
HKEY ROOT CLASSIDS:
**********************************************************************************
Files Found are not all bad files:

C:\WINDOWS\SYSTEM32\
pncrt.dll Sun 28 Jan 2007 23:11:28 A.... 278.528 272,00 K
pndx5016.dll Sun 28 Jan 2007 23:11:28 A.... 6.656 6,50 K
pndx5032.dll Sun 28 Jan 2007 23:11:28 A.... 5.632 5,50 K
rmoc3260.dll Sun 28 Jan 2007 23:11:34 A.... 185.952 181,59 K

4 items found: 4 files, 0 directories.
Total of file sizes: 476.768 bytes 465,59 K
Locate .tmp files:

No matches found.
**********************************************************************************
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F0D3-4FAB

Verzeichnis von C:\WINDOWS\System32

13.01.2007 19:18 <DIR> dllcache
23.02.2005 00:10 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 26.308.730.880 Bytes frei



L2Mfix 1.03

Running From:
C:\PROGRA~1\LOOK2M~1\l2mfix



RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting registry permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Denying C(CI) access for predefined group "Administrators"
- adding new ACCESS DENY entry


Registry Permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(CI) DENY --C------- VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER



Setting up for Reboot


Starting Reboot!

C:\Programme\Look2meRemoval\l2mfix
System Rebooted!

Running From:
C:\Programme\Look2meRemoval\l2mfix

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!



also, fliege leider immer noch schneller ausm netz als david hasselhoff aus ner bar ;-)
leider immer noch nicht wirklich zum lachen.
nützt es eigentlich was, unter arbeitsplatz / verwalten den remote-desktop-dienst auf manuell zu stellen?

grüße
stanleyQ


hi!

sorry, folgendes log vergessen, da es jetzt erst nach dem reboot aufgetaucht ist:


Setting Directory
C:\Dokumente und Einstellungen\Tobi
Setting Directory
C:\Dokumente und Einstellungen\Tobi
Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe
Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

Setting Directory
C:\Dokumente und Einstellungen\Tobi
Setting Directory
C:\Dokumente und Einstellungen\Tobi
System Rebooted!

Running From:
C:\Dokumente und Einstellungen\Tobi

killing explorer and rundll32.exe

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!

Zipping up files for submission:
adding: clear.reg (164 bytes security) (deflated 2%)
adding: lo2.txt (164 bytes security) (deflated 96%)
adding: test.txt (164 bytes security) (stored 0%)
adding: test2.txt (164 bytes security) (stored 0%)
adding: test3.txt (164 bytes security) (stored 0%)
adding: test5.txt (164 bytes security) (stored 0%)

Restoring Registry Permissions:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"
Inherited ACE can not be revoked here!
Inherited ACE can not be revoked here!


Registry permissions set too:

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332


The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


The following are the files found:
****************************************************************************

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************

grüße
stanleyQ

#28 poste dieses log
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 hi!

voilà!

ComboScan v20070212.14 run by Tobi on 2007-02-18 at 19:58:32
Computer is in Normal Mode.
--------------------------------------------------------------------------------

System Restore was disabled; re-enabling.
Failed to create restore point: System Restore is disabled (service is not running).
Performed disk cleanup.


-- HijackThis log (run as Tobi.com) ---------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:58:51, on 18.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Soulseek\slsk.exe
C:\Dokumente und Einstellungen\ToBineInternet\Desktop\BOOTINI\comboscan.exe
C:\DOKUME~1\Tobi\LOKALE~1\Temp\~jwmifmv.tmp\Tobi.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - Global Startup: C2CMonitor.lnk.disabled
O4 - Global Startup: Microsoft-Indexerstellung.lnk.disabled
O4 - Global Startup: Office-Start.lnk.disabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe


-- HijackThis Fixed Entries (C:\Programme\HiJackThis-W32-FMN-Killer\backups\) ---

backup-20070110-141103-533 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
backup-20070110-141103-678 F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
backup-20070111-001144-395 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
backup-20070111-001144-477 F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
backup-20070121-160704-613 O23 - Service: Microsoft Security Login Service - Unknown owner - C:\WINDOWS\System32\dllcache\mssecure32.exe (file missing)
backup-20070121-160704-655 O23 - Service: Microsoft update Service - Unknown owner - C:\WINDOWS\System32\dllcache\msiupdate32.exe (file missing)
backup-20070130-203110-195 O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll (file missing)
backup-20070130-203230-295 O23 - Service: Microsoft windows FTPd - Unknown owner - (no file)
backup-20070130-203230-327 O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)
backup-20070130-203230-505 O23 - Service: Vista ReadyService (VistaRS) - Unknown owner - C:\WINDOWS\system32\readysrv.exe (file missing)
backup-20070130-203230-515 O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\msagent.exe (file missing)
backup-20070130-203230-690 O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
backup-20070130-203355-135 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,bootini.exe
backup-20070130-203355-676 O23 - Service: Vista ReadyService (VistaRS) - Unknown owner - C:\WINDOWS\system32\readysrv.exe (file missing)
backup-20070130-203355-804 O21 - SSODL: SysTray - {E61B5E20-DE35-11CF-9C87-1579005127ED} - C:\WINDOWS\System32\msc.cpl (file missing)
backup-20070130-203355-859 O21 - SSODL: msp.cpl - {E21B5E20-DE35-11CF-9C87-157900512701} - C:\WINDOWS\System32\msp.cpl (file missing)
backup-20070130-203355-936 F2 - REG:system.ini: Shell=Explorer.exe bootini.exe
backup-20070130-203447-453 O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)
backup-20070130-203447-500 O23 - Service: Vista ReadyService (VistaRS) - Unknown owner - C:\WINDOWS\system32\readysrv.exe (file missing)
backup-20070205-213411-114 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
backup-20070205-213411-125 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
backup-20070205-213411-204 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
backup-20070205-213411-220 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
backup-20070205-213411-224 O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINDOWS\System32\wgareg.exe (file missing)
backup-20070205-213411-231 O17 - HKLM\System\CCS\Services\Tcpip\..\{A1FD66DD-DEE8-4C95-9957-D787F644743F}: NameServer = 85.255.115.94,85.255.112.24
backup-20070205-213411-288 O1 - Hosts: localhost 127.0.0.1
backup-20070205-213411-295 O17 - HKLM\System\CCS\Services\Tcpip\..\{DC5E1E9F-DDA0-45AE-BB8C-23033A294DD5}: NameServer = 85.255.115.94,85.255.112.24
backup-20070205-213411-300 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
backup-20070205-213411-342 O23 - Service: Vista ReadyService (VistaRS) - Unknown owner - C:\WINDOWS\system32\readysrv.exe (file missing)
backup-20070205-213411-374 O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\dxocx.dll (file missing)
backup-20070205-213411-391 O23 - Service: Microsoft sdk core (sdk) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
backup-20070205-213411-534 R3 - URLSearchHook: (no name) - {9244909D-6F9B-206D-A2C6-415FE9897329} - bhoserv.dll (file missing)
backup-20070205-213411-541 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
backup-20070205-213411-549 O1 - Hosts: localhost 127.0.0.1
backup-20070205-213411-566 O17 - HKLM\System\CCS\Services\Tcpip\..\{B9451F03-1DBF-4DE7-B5D2-F2CE3F2127D0}: NameServer = 85.255.115.94,85.255.112.24
backup-20070205-213411-872 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
backup-20070205-213411-905 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
backup-20070205-213411-937 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
backup-20070205-213411-961 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
backup-20070205-213411-979 O2 - BHO: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
backup-20070205-213411-996 O21 - SSODL: WebCheck - {E61B5E20-DE35-11CF-9C87-1579005127ED} - (no file)


-- File Associations ------------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

1 AmdK7 (AMD K7-Prozessortreiber) - System32\DRIVERS\amdk7.sys
3 Arp1394 (1394-ARP-Clientprotokoll) - System32\DRIVERS\arp1394.sys
3 ati2mtag - System32\DRIVERS\ati2mtag.sys
1 AVG Anti-Spyware Driver - \??\C:\Programme\AVG Anti-Spyware 7.5\guard.sys
1 AvgAsCln (AVG Anti-Spyware Clean Driver) - System32\DRIVERS\AvgAsCln.sys
1 avgntdd - SYSTEM32\DRIVERS\avgntdd.sys
0 avgntmgr - SYSTEM32\drivers\avgntmgr.sys
3 HidUsb (Microsoft HID Class-Treiber) - System32\DRIVERS\hidusb.sys
1 kbdhid (Tastatur-HID-Treiber) - System32\DRIVERS\kbdhid.sys
0 Kl1 - System32\drivers\kl1.sys
1 Klif - System32\drivers\klif.sys
1 Klmc - System32\drivers\klmc.sys
3 mouhid (Maus-HID-Treiber) - System32\DRIVERS\mouhid.sys
3 ms_mpu401 (Microsoft MPU-401 MIDI UART-Treiber) - system32\drivers\msmpu401.sys
3 NIC1394 (1394-Netzwerktreiber) - System32\DRIVERS\nic1394.sys
3 nvax (Service for NVIDIA(R) nForce(TM) Audio Enumerator) - system32\drivers\nvax.sys
3 NVENET (NVIDIA nForce MCP Networking Controller Driver) - System32\DRIVERS\NVENET.sys
3 nvnforce (Service for NVIDIA(R) nForce(TM) Audio) - system32\drivers\nvapu.sys
0 nv_agp (NVIDIA nForce AGP Bus Filter) - System32\DRIVERS\nv_agp.sys
0 ohci1394 (OHCI-konformer IEEE 1394-Hostcontroller) - System32\DRIVERS\ohci1394.sys
0 PCIIde - System32\DRIVERS\pciide.sys
3 PDDSLADP (ProDyne DSL Adapter) - system32\DRIVERS\PDDSLADP.SYS
3 PDNETCTL (ProDyne MicroPPPoE) - system32\DRIVERS\pdnetctl.sys
0 PxHelp20 - System32\DRIVERS\PxHelp20.sys
3 ROOTMODEM (Microsoft Legacy Modem Driver) - System32\Drivers\RootMdm.sys
3 StillCam (Treiber für serielle Digitalkamera) - System32\DRIVERS\serscan.sys
3 TSP - \??\C:\WINDOWS\system32\drivers\klif.sys
2 UMAXPCLS (Scannertreiber (Druckeranschluss)) - System32\DRIVERS\umaxpcls.sys
3 usbccgp (Microsoft Standard-USB-Haupttreiber) - System32\DRIVERS\usbccgp.sys
3 usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - System32\DRIVERS\usbehci.sys
3 usbohci (Miniporttreiber für Microsoft USB Open Host-Controller) - System32\DRIVERS\usbohci.sys
3 USBSTOR (USB-Massenspeichertreiber) - System32\DRIVERS\USBSTOR.SYS
3 yukonx86 (NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter) - System32\DRIVERS\yukonx86.sys


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
2 AntiVirService (AntiVir PersonalEdition Classic Guard) - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
2 Ati HotKey Poller - %SystemRoot%\System32\Ati2evxx.exe
2 ATI Smart - C:\WINDOWS\system32\ati2sgag.exe
2 AVG Anti-Spyware Guard - C:\Programme\AVG Anti-Spyware 7.5\guard.exe
2 bdss (BitDefender Scan Server) - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe /service
2 kavsvc - "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"
2 XCOMM (BitDefender Communicator) - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe /service


-- Files created between 2007-01-18 and 2007-02-18 ------------------------------

2007-02-18 16:08:57 0 d-------- C:\Programme\Soulseek
2007-02-15 19:46:01 4096 --a------ C:\WINDOWS\d3dx.dat
2007-02-14 11:00:58 0 d-------- C:\avenger
2007-02-13 15:52:40 3968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys<Unsigned: GRISOFT, s.r.o.>
2007-02-13 15:52:38 0 d-------- C:\Programme\AVG Anti-Spyware 7.5<AVGANT~1.5>
2007-02-12 15:48:44 0 d-------- C:\Programme\BFU
2007-02-12 15:35:57 0 d-------- C:\Programme\Qoofix
2007-02-11 15:15:40 0 d-------- C:\Programme\WinPFind
2007-02-11 15:15:19 0 d-------- C:\Programme\RegSearch<REGSEA~1>
2007-02-11 15:08:14 880702 --a------ C:\combofix.exe<Unsigned: >
2007-02-07 21:57:32 0 d-------- C:\Programme\Avenger
2007-02-06 16:25:07 0 d-------- C:\Programme\servicefilter<SERVIC~1>
2007-02-06 16:12:13 339257 --a------ C:\CleanUp452.exe<CLEANU~1.EXE><Unsigned: n/a>
2007-02-06 15:29:24 0 d-------- C:\SAV32CLI
2007-02-05 20:50:22 0 d-------- C:\SDFix
2007-02-05 20:36:59 0 d-------- C:\fixwareout<FIXWAR~1>
2007-01-28 23:40:30 0 d-------- C:\WINDOWS\SoftwareDistribution<SOFTWA~1>
2007-01-28 23:11:42 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared<XINGSH~1>
2007-01-28 23:11:24 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2007-01-24 22:20:18 0 d-------- C:\Programme\ElsterFormular<ELSTER~1>
2007-01-24 22:19:10 0 d-------- C:\Programme\Elster
2007-01-18 18:58:10 0 d-------- C:\WINDOWS\system32\NtmsData


-- Find3M Report ----------------------------------------------------------------

2007-02-16 13:04:25 0 d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\vlc
2007-02-15 19:41:08 0 d-------- C:\Programme\HiJackThis-W32-FMN-Killer<HIJACK~1>
2007-02-12 15:47:06 62862 --a------ C:\Programme\bfu.zip
2007-02-11 17:30:53 85635 --a------ C:\Programme\Qoofix.zip
2007-02-11 15:12:11 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-02-11 15:09:37 204131 --a------ C:\Programme\WinPFind.zip
2007-02-11 15:09:00 328521 --a------ C:\Programme\regsearch.zip<REGSEA~1.ZIP>
2007-02-06 16:24:27 13518 --a------ C:\Programme\ServiceFilter.zip<SERVIC~1.ZIP>
2007-02-06 16:05:52 0 d-------- C:\Programme\webLCR
2007-02-04 13:16:18 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~2>
2007-02-02 16:05:29 0 d-------- C:\Programme\Ad-aware 6<AD-AWA~1>
2007-01-28 23:17:32 0 d-------- C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\Real
2007-01-24 22:20:18 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-01-13 19:35:37 0 d-------- C:\Programme\NetCologne<NETCOL~1>
2007-01-13 19:18:38 0 d-------- C:\Programme\Messenger<MESSEN~1>
2007-01-13 19:18:07 0 d-------- C:\Programme\Movie Maker<MOVIEM~1>
2007-01-13 19:13:25 0 d-------- C:\Programme\Windows NT<WINDOW~1>
2007-01-13 19:13:14 0 d-------- C:\Programme\Gemeinsame Dateien\System
2007-01-13 18:56:28 0 d-------- C:\Programme\Gemeinsame Dateien\NetCologne<NETCOL~1>
2007-01-09 12:39:28 0 d-------- C:\Programme\DatFind-Dat-Killer<DATFIN~1>
2007-01-09 12:37:46 0 d-------- C:\Programme\Clearprog-Browserspuren-Löscher<CLEARP~1>
2007-01-09 12:27:03 0 d-------- C:\Programme\Winamp
2007-01-09 12:27:03 0 d-------- C:\Programme\Wik And The Fable Of Souls<WIKAND~1>
2007-01-09 12:27:03 0 d-------- C:\Programme\QuickTime<QUICKT~1>
2007-01-09 12:27:03 0 d-------- C:\Programme\PDF Toolbox<PDFTOO~1>
2007-01-09 12:27:03 0 d-------- C:\Programme\CDex
2007-01-09 12:06:56 13322 --a------ C:\smitfrau.reg
2007-01-09 12:01:56 0 d-------- C:\Programme\DLL-Killer!!!!!!<DLL-KI~1>
2006-12-28 17:49:40 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys<Unsigned: AVIRA GmbH>
2006-12-28 17:49:40 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys<Unsigned: AVIRA GmbH>


-- Registry Dump ----------------------------------------------------------------


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"!AVG Anti-Spyware"="\"C:\\Programme\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
"KernelFaultCheck"="%systemroot%\\system32\\dumprep 0 -k"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"nForce Tray Options"="sstray.exe /r"
"QuickTime Task"="\"C:\\WINDOWS\\System32\\qttask.exe\" -atboottime"
"Winamp Agent"="C:\\WINDOWS\\System32\\winamp.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"BDNewsAgent"="C:\\Programme\\Softwin\\BitDefender Free Edition\\bdnagent.exe"
"KAVPersonal50"="C:\\Programme\\Kaspersky\\kav.exe /minimize"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
@=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"=dword:00000000
"NoDispCPL"=dword:00000000
"NoColorChoice"=dword:00000000
"NoSizeChoice"=dword:00000000
"NoVisualStyleChoice"=dword:00000000
"NoDispSettingsPage"=dword:00000000
"DisableRegistryTools"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSaveSettings"=dword:00000000
"NoThemesTab"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



-- End of ComboScan: finished at 2007-02-18 at 19:59:23 -------------------------


grüße
stanleyQ

#30 ich finde nichts mehr, aber wenn ich mir die logs vom Beginn der Reinigung ansehe, kann ich dir letztendlich nur noch zum Formatieren raten.
Das saeubern zu wollen, was sowieso Unsinn, da sinnlos
__________
MfG Sabina

rund um die PC-Sicherheit