Ebay.pdf.exe Trojaner Problem

#0
10.02.2007, 20:00
Member

Beiträge: 33
#1 Hallo Leute,
ich weiß hier gibts es schon zig themen zum ebay trojaner, aber keiner konnte mir helfen
leider hab ich auch den anahng geöffnet und nur hängt so zimelich alles, icq, internet explorer etc pp..
wäre um hilfe dankbar! das problem dürfte ja bekannt sein oder, leider find ich kein prozess der hier beschrieben wird den man löschen sollte
die datei wurde schon gelöscht allerdings läuft meiner meinung nach noch recht viel im hintergrund!
Mfg


Logfile of HijackThis v1.99.1
Scan saved at 20:00:20, on 10.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\T-DSL Business\BOLog.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\iasx.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monk.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\BOLog.exe"
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iasx] iasx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_1056.dll,InstantAccess
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: hardcopy.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://212.185.126.102/iNotes6W.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123787231703
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://212.185.126.102/dwa7W.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66E5DC49-1E8F-41F3-80E3-F37E3645481B}: NameServer = 129.186.100.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA52AA7D-8E18-47C4-B5B0-415D18785505}: NameServer = 129.186.100.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ckpNotify - C:\WINDOWS\SYSTEM32\ckpNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Seitenanfang Seitenende
11.02.2007, 16:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Marcl

««
F-Secure BlackLight - poste den text, der erscheint
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe

««
Folgen den Anweisungen unter
http://virus-protect.org/cleanup.html
und stelle den CleanUp genauso ein, wie dort angegeben, dann den Rechner neustarten (so werden die temporaeren Dateien geloescht)

««
combofix anwenden, auch die Datentraegerbereinigung durchfuehren lassen + den Scanreport abkopieren und im Beitrag posten
http://virus-protect.org/artikel/tools/combofix.html

««
Logfiles mittels datfind.bat erstellen und posten (abkopieren)
Exakte Anleitung unter: http://virus-protect.org/datfindbat.html
Kopiere diese 6 erstellten Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet.
(kopiere je Logfile nur die letzten 3 Monate ab !)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 18:11
Member

Themenstarter

Beiträge: 33
#3 Danke mal,
Also:
---------------------------------------
Blacklight:
02/11/07 17:21:27 [Info]: BlackLight Engine 1.0.55 initialized
02/11/07 17:21:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/11/07 17:21:28 [Note]: 7019 4
02/11/07 17:21:28 [Note]: 7005 0
02/11/07 17:21:31 [Note]: 7006 0
02/11/07 17:21:31 [Note]: 7011 884
02/11/07 17:21:31 [Note]: 7026 0
02/11/07 17:21:31 [Note]: 7026 0
02/11/07 17:21:41 [Note]: FSRAW library version 1.7.1021
02/11/07 17:32:13 [Note]: 2000 1012
02/11/07 17:32:13 [Note]: 2000 1012
02/11/07 17:32:13 [Note]: 2000 1012
02/11/07 17:32:13 [Note]: 2000 1012
02/11/07 17:32:13 [Note]: 2000 1012
02/11/07 17:33:16 [Note]: 7007 0

---------------------------------------


Clean up: OKAY!


---------------------------------------



Combofix:
"Mutzel" - 07-02-11 17:57:26 Service Pack 2
ComboFix 07-02-11 - Running from: "C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\gegen hacking"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ipv6monl.dll


((((((((((((((((((((((((((((((( Files Created from 2007-01-11 to 2007-02-11 ))))))))))))))))))))))))))))))))))


2007-02-11 17:50 <DIR> d-------- C:\h
2007-02-09 14:37 64,728 --a------ C:\WINDOWS\system32\ipv6monk.dll
2007-02-08 21:29 28,160 --a------ C:\WINDOWS\system32\iasx.exe
2007-01-24 21:23 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\Anwendungsdaten\gotomaxx
2007-01-24 21:20 <DIR> d-------- C:\Programme\pdfmailer3stddeV-3.0.9
2007-01-11 17:21 <DIR> d-------- C:\WINDOWS\system32\Coke Zero Screensaver dir
2007-01-11 16:54 <DIR> d-------- C:\WINDOWS\ie7updates


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-08 21:52 -------- d-------- C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\skype
2007-02-03 13:02 -------- d-------- C:\Programme\microsoft games
2007-02-02 15:02 -------- d-------- C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\limewire
2007-02-02 14:00 -------- d-------- C:\Programme\google
2007-02-01 20:52 -------- d-------- C:\Programme\hardcopy
2007-01-28 15:13 -------- d-------- C:\Programme\gamespy arcade
2007-01-28 15:13 -------- d-------- C:\Programme\aws
2007-01-28 15:12 -------- d--h----- C:\Programme\installshield installation information
2007-01-20 22:42 21840 --a----t- C:\WINDOWS\system32\sintfnt.dll
2007-01-20 22:42 17212 --a----t- C:\WINDOWS\system32\sintf32.dll
2007-01-20 22:42 12067 --a----t- C:\WINDOWS\system32\sintf16.dll
2007-01-20 22:19 -------- d-------- C:\Programme\wings of war
2007-01-12 23:57 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
2007-01-03 14:17 -------- d-------- C:\Programme\cossacks - back to war
2006-12-25 18:20 -------- d---s---- C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\microsoft
2006-12-22 11:57 -------- d-------- C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\leadertech
2006-12-22 11:34 -------- d-------- C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\apple computer
2006-12-21 18:29 -------- d-------- C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\vlc
2006-12-13 17:25 49174 --a------ C:\WINDOWS\system32\perfc007.dat
2006-12-13 17:25 320094 --a------ C:\WINDOWS\system32\perfh007.dat
2006-12-11 15:52 11376 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-12-11 15:51 582 --a------ C:\WINDOWS\ereg.dat
2006-12-11 15:43 -------- d-------- C:\Programme\maxis
2006-12-07 07:40 2362184 --a------ C:\WINDOWS\system32\wmvcore.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Instant Access"="rundll32.exe EGDACCESS_1056.dll,InstantAccess"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.908.5008\\GoogleToolbarNotifier.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Dokumente und Einstellungen\\Mutzel\\Eigene Dateien\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"mouseElf"="C:\\PROGRA~1\\GENIUS~1\\GNETMOUS.EXE"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"SiS Windows KeyHook"="C:\\WINDOWS\\System32\\keyhook.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PCTVOICE"="pctspk.exe"
"PV92TRAY"="PV92Tray.exe"
"T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\""
"BusinessOnline Log"="\"C:\\Programme\\T-DSL Business\\BOLog.exe\""
"EPSON Stylus C86 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0R2.EXE /P23 \"EPSON Stylus C86 Series\" /O6 \"USB001\" /M \"Stylus C86\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"ICQ Lite"="\"C:\\Dokumente und Einstellungen\\Mutzel\\Eigene Dateien\\ICQLite\\ICQLite.exe\" -minimize"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iasx"="iasx.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\control panel\load]
"seodry"=hex:9f,33,f5,e1,72,78,56,55,21,3a,01,57,f2,c0,be,ce,69,4c,25,0e,f5,ca,\
cb,7c,2f,1c,8b,b4,7f,24,aa,b1,68,31,bf,e9,7c,30,c5,82,2b,bf,96,4c,bf,88,36,\
d5,69,02,a8,4c,e3,d6,00,b0,34,d0,0b,f4,7f,e4,2b,ec,6f,ec,2a,f9,78,e9,1f,91,\
30,b2,0c,9c,fc,46,b2,0e,64,d2,30,9f,ff,17,8d,ff,26,9e,8b,32,7e,a0,e3,28,2f,\
ae,f0,3f,7f,bd,cf,18,6f,7c,8b,d4,bf,04,2b,4c,2e,91,ac,d9
"ebfrm"=hex:5c,25,2f,f4,65,6a,41,43,7a,71,06,15,f1,dc,a2,88,73,42,2c,0c,e2,8b,\
d4,21,75,5d,84,a9,71,3a,f7,fb,20,37,e1,bb,7f,37,cd,9a,21,a0
"ip"=hex:0b,ea,1f,9d,3d,78,04,59,34,25,14,0a,aa,86,eb,83,61,4f,2f,00,fe,de,ca,\
61,2f,02,d0,bb,71,27,ef,ef,64,24,ab,a8,60,29,8b,86,25,fd,87,56,fd,8c,6a,c5,\
6f,41,e9,5b,b0,91,10,a5,30,8b,0b,b6,28,b8,2a,b8,35,af,35,bd,27,b7,15,82,78,\
fe,14,96,e3,5d,a6,00,6e,ca,6b,99,ff,4a,90,f3,21,9f,cf,77,78,bd,e9,61,2d,e4,\
bf,64,71,f9,cc,05,34,61,de,96,bf,1e,33,56,2e,91,ab,da,e4,1b,05,3f,2b,1f,40,\
7c,3f,23,2b,67,75,6f,67,7a,3f,7c,5c,45,25,23,0a,18,fc,87,ac,95,6d,4d,6e,01,\
e4,cd,94,62,6a,13,c5,b7,7b,20,ea,a6,2e,31,eb,ba,64,3b,c5,9f,2b,bf,80,5c,b0,\
c4,36,81,68,15,b0,59,aa,d6,4b,e9,71,9f,1d,ac,3e,b8,30,b6,2e,b0,37,b1,3f,e9,\
4b,c2,34,b3,05,97,fb,06,b4,0e,73,d5,26,88,fe,52,ca,f9,34,9c,84,74,35
"forwas"=hex:15,26,db,fb,69
"timeu"=dword:45cf4a9d


[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source REG_SZ http://www.cslab.ece.ntua.gr/~pbassios/hawaii.jpg

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-11 18:04:49


---------------------------------------


Datfindbat:

System32:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\WINDOWS\system32

11.02.2007 17:16 101.592 bild_album.exe
11.02.2007 17:15 1.374 wpa.dbl
11.02.2007 17:15 1.615.935 ckpNotify.log
11.02.2007 12:18 64.728 ipv6monl.dll
09.02.2007 14:37 64.728 ipv6monk.dll
08.02.2007 00:57 28.160 iasx.exe
28.01.2007 18:03 200.936 FNTCACHE.DAT
20.01.2007 22:42 21.840 SIntfNT.dll
20.01.2007 22:42 17.212 SIntf32.dll
20.01.2007 22:42 12.067 SIntf16.dll
12.01.2007 23:57 43.520 CmdLineExt03.dll
03.01.2007 00:19 10.980.776 MRT.exe
13.12.2006 17:25 314.508 perfh009.dat
13.12.2006 17:25 40.836 perfc009.dat
13.12.2006 17:25 49.174 perfc007.dat
13.12.2006 17:25 320.094 perfh007.dat
13.12.2006 17:25 724.666 PerfStringBackup.INI
07.12.2006 07:40 2.362.184 wmvcore.dll
17.11.2006 18:54 1.040.384 ieframe.dll.mui
17.11.2006 18:53 12.288 advpack.dll.mui
16.11.2006 14:09 15.584 spmsg.dll
08.11.2006 06:06 679.424 inetcomm.dll
07.11.2006 21:03 191.488 iepeers.dll
07.11.2006 21:03 6.049.280 ieframe.dll
07.11.2006 21:03 180.736 ieui.dll
07.11.2006 21:03 27.136 jsproxy.dll
07.11.2006 21:03 50.688 msfeedsbs.dll
07.11.2006 21:03 458.752 msfeeds.dll
07.11.2006 21:03 670.720 mstime.dll
07.11.2006 21:03 818.688 wininet.dll
07.11.2006 21:03 231.424 webcheck.dll
07.11.2006 21:03 413.696 vbscript.dll
07.11.2006 21:03 3.577.856 mshtml.dll
07.11.2006 21:03 1.162.240 urlmon.dll
07.11.2006 21:03 475.648 mshtmled.dll
07.11.2006 21:03 131.584 extmgr.dll
07.11.2006 21:03 156.160 msls31.dll
07.11.2006 03:27 382.976 iedkcs32.dll
07.11.2006 03:27 229.376 ieaksie.dll
07.11.2006 03:26 152.064 ieakeng.dll
07.11.2006 03:26 71.680 admparse.dll
07.11.2006 03:26 55.296 iesetup.dll
07.11.2006 03:26 13.312 ieudinit.exe
07.11.2006 03:26 54.784 ie4uinit.exe
07.11.2006 03:26 43.008 iernonce.dll
07.11.2006 03:26 123.904 advpack.dll
07.11.2006 03:26 92.672 inseng.dll
07.11.2006 03:25 161.792 ieakui.dll
07.11.2006 03:24 56.483 ieuinit.inf
04.11.2006 14:14 1.245.696 msxml4.dll


Systemtemp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\DOKUME~1\Mutzel\LOKALE~1\Temp

11.02.2007 17:41 16.384 ~DFDFFA.tmp
11.02.2007 17:41 16.384 ~DFDFE1.tmp
11.02.2007 17:41 16.384 ~DFDFC8.tmp
11.02.2007 17:41 16.384 ~DFDFAF.tmp
11.02.2007 17:25 580 jusched.log
11.02.2007 17:16 16.384 ~DFD69D.tmp
11.02.2007 17:15 16.384 ~DFC663.tmp
11.02.2007 17:15 0 vga1.tmp
8 Datei(en) 98.884 Bytes
0 Verzeichnis(se), 62.405.279.744 Bytes frei

Windows:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\WINDOWS

11.02.2007 17:15 0 0.log
11.02.2007 17:15 1.412.625 WindowsUpdate.log
11.02.2007 17:15 50 wiaservc.log
11.02.2007 17:15 159 wiadebug.log
11.02.2007 17:14 2.048 bootstat.dat
11.02.2007 17:13 32.622 SchedLgU.Txt
11.02.2007 16:17 729.412 setupapi.log
11.02.2007 15:48 116 NeroDigital.ini
03.02.2007 21:18 124.968 wmsetup.log
03.02.2007 13:38 634 win.ini
28.01.2007 14:53 404 SIERRA.INI
28.01.2007 14:26 494 wmsetup10.log
20.01.2007 22:42 170.978 DirectX.log
20.01.2007 22:19 152.217 iis6.log
20.01.2007 22:19 49.450 ocmsn.log
20.01.2007 22:19 505.052 ocgen.log
20.01.2007 22:19 201.445 ntdtcsetup.log
20.01.2007 22:19 329.813 comsetup.log
20.01.2007 22:19 1.917 imsins.log
20.01.2007 22:19 389.078 tsoc.log
20.01.2007 22:19 50.028 msgsocm.log
20.01.2007 22:19 962.223 FaxSetup.log
11.01.2007 16:54 1.374 imsins.BAK
11.01.2007 16:54 4.410 KB929969.log
28.12.2006 16:09 11 wanpatan.ini
16.12.2006 13:02 9.709 KB925398.log
16.12.2006 13:02 10.978 KB923689.log
16.12.2006 13:01 11.855 KB926255.log
16.12.2006 13:01 60.564 updspapi.log
16.12.2006 13:01 11.810 KB923694.log
11.12.2006 15:51 582 eReg.dat
09.12.2006 16:32 37.753 spupdsvc.log
09.12.2006 16:28 25.851 ie7_main.log
09.12.2006 16:27 51.749 ie7.log
09.12.2006 16:25 9.681 IDNMitigationAPIs.log
09.12.2006 16:25 9.419 NLSDownlevelMapping.log
09.12.2006 16:25 8.028 KB915865.log
09.12.2006 16:24 5.651 KB914440.log
09.12.2006 16:24 21.451 KB920213.log
09.12.2006 16:24 10.725 KB904942.log
27.11.2006 16:56 12.862 EPISMG00.SWB
17.11.2006 23:31 15.384 KB923980.log
17.11.2006 23:30 15.406 KB924270.log
17.11.2006 23:29 17.319 KB922760.log


Temp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\WINDOWS\Temp

11.02.2007 17:16 16.384 Perflib_Perfdata_984.dat
11.02.2007 17:15 409 WGANotify.settings
11.02.2007 17:15 255 WGAErrLog.txt
3 Datei(en) 17.048 Bytes
0 Verzeichnis(se), 62.405.279.744 Bytes frei


Down:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.06.2006 10:36 353 dwa7W.inf
09.06.2006 10:36 282.624 dwa7W.dll
02.03.2006 14:40 1.271 erma.inf
27.08.2005 13:30 5.065 swflash.inf
23.06.2005 15:45 360 inotes6W.inf
23.06.2005 15:45 262.144 inotes6W.dll
26.05.2005 03:19 293 muweb.inf
17.11.2004 22:44 114.728 Zintro.ocx
13.05.2004 17:37 356.352 inotes6.dll
06.04.2004 19:03 172.072 MessengerStatsPAClient.dll
01.04.2004 10:42 65 desktop.ini
29.05.2003 14:00 84.064 minesweeper.dll
29.05.2003 14:00 86.112 solitaireshowdown.dll
29.05.2003 14:00 160.864 messengerstatsclient.dll
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
16 Datei(en) 1.528.226 Bytes
0 Verzeichnis(se), 62.405.279.744 Bytes frei


C:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\

11.02.2007 17:51 0 sys.txt
11.02.2007 17:51 1.108 down.txt
11.02.2007 17:51 396 tmp.txt
11.02.2007 17:50 14.916 system.txt
11.02.2007 17:50 633 systemtemp.txt
11.02.2007 17:50 101.653 system32.txt
11.02.2007 17:46 1.108 temp.txt
11.02.2007 17:14 704.643.072 pagefile.sys
17.01.2007 17:31 32 VDFS.DMP
20.10.2006 12:10 37.925 dxdiag.txt
28.09.2006 14:21 448 log.txt
23.04.2006 17:37 2.400 TDSLCheck.txt
08.02.2006 16:28 36 keyhook.txt
15.09.2005 18:54 696.320 StubInstaller.exe
06.10.2004 12:30 211 boot.ini
06.10.2004 12:24 47.564 NTDETECT.COM
06.10.2004 12:24 251.184 ntldr
01.04.2004 10:43 0 IO.SYS
01.04.2004 10:43 0 CONFIG.SYS
01.04.2004 10:43 0 AUTOEXEC.BAT
01.04.2004 10:43 0 MSDOS.SYS
29.08.2002 13:00 4.952 bootfont.bin
24.05.2001 11:59 162.304 UNWISE.EXE
23 Datei(en) 705.966.262 Bytes
0 Verzeichnis(se), 62.405.279.744 Bytes frei




riesen danke schon mal
und bitte weiterhelfen ;) thx
Seitenanfang Seitenende
11.02.2007, 18:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Marcl

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|iasx

Files to delete:
C:\WINDOWS\Downloaded Program Files\IELoader.dll
C:\WINDOWS\system32\EGDACCESS_1068.dll
C:\WINDOWS\system32\bild_album.exe
C:\WINDOWS\system32\ipv6monl.dll
C:\WINDOWS\system32\ipv6monk.dll
C:\WINDOWS\system32\iasx.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

----------------------------------------

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

--------------------------------------

»»
Winpfind - poste das log
http://virus-protect.org/winpfind.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 20:04
Member

Themenstarter

Beiträge: 33
#5 Avenger: Erledigt!
(Danke erster <Erfolg> die Meldung Can't find... kommt nich mehr ;) prima)



SD FIX:

SDFix: Version 1.64

Run by: Mutzel - 11.02.2007 @ 19:40:50,68

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"="C:\\Programme\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe:*:Enabled:SR_GUI"
"D:\\Apache2\\bin\\Apache.exe"="D:\\Apache2\\bin\\Apache.exe:*;)isabled:Apache HTTP Server"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Sierra\\EE-ZDE\\EE-AOC.exe"="C:\\Sierra\\EE-ZDE\\EE-AOC.exe:*;)isabled:EE-AOC"
"C:\\Sierra\\Empire Earth\\Empire Earth.exe"="C:\\Sierra\\Empire Earth\\Empire Earth.exe:*;)isabled:Empire Earth"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*;)isabled:LimeWire"
"C:\\Programme\\Gemeinsame Dateien\\Synacast\\SynaLive\\PE.exe"="C:\\Programme\\Gemeinsame Dateien\\Synacast\\SynaLive\\PE.exe:*:Enabled:SynacastPE"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Dokumente und Einstellungen\\Mutzel\\Eigene Dateien\\ICQLite\\ICQLite.exe"="C:\\Dokumente und Einstellungen\\Mutzel\\Eigene Dateien\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Dokumente und Einstellungen\\Mutzel\\Eigene Dateien\\temp9\\LimeWire\\LimeWire.exe"="C:\\Dokumente und Einstellungen\\Mutzel\\Eigene Dateien\\temp9\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part1.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part2.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part3.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part4.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\latex_anal_nurses.rar
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5ad881bf7ccca165afcad53d7a558500\BIT62F.tmp

Finished


Winpfind:
WARNING: not all files found by this scanner are bad. Consult with a knowledgable person before proceeding.

If you see a message in the titlebar saying "Not responding..." you can ignore it. Windows somethimes displays this message due to the high volume of disk I/O. As long as the hard disk light is flashing, the program is still working properly.

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 7.0.5730.11

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
UPX! 07.12.2004 14:45:00 121240 C:\WINDOWS\ExeDialer.exe
UPX! 02.03.2005 15:15:04 79137 C:\WINDOWS\spielesammlung[ssg-10001,1,a63e].exe
UPX! 26.09.2004 17:08:50 99594 C:\WINDOWS\Teste dich jetzt ![iet-10095,de,1].exe

Checking %System% folder...
aspack 18.03.2005 16:19:58 2337488 C:\WINDOWS\SYSTEM32\d3dx9_25.dll
aspack 26.05.2005 14:34:52 2297552 C:\WINDOWS\SYSTEM32\d3dx9_26.dll
aspack 22.07.2005 18:59:04 2319568 C:\WINDOWS\SYSTEM32\d3dx9_27.dll
aspack 05.12.2005 17:09:18 2323664 C:\WINDOWS\SYSTEM32\d3dx9_28.dll
aspack 03.02.2006 07:43:16 2332368 C:\WINDOWS\SYSTEM32\d3dx9_29.dll
aspack 31.03.2006 11:40:58 2388176 C:\WINDOWS\SYSTEM32\d3dx9_30.dll
PEC2 29.08.2002 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 28.09.2005 22:29:14 693248 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 28.09.2005 22:29:14 693248 C:\WINDOWS\SYSTEM32\DivX.dll
UPX! 07.12.2004 14:45:00 62976 C:\WINDOWS\SYSTEM32\EGDACCESS_1056.dll
PTech 19.06.2006 15:19:42 571184 C:\WINDOWS\SYSTEM32\LegitCheckControl.dll
PECompact2 03.01.2007 00:19:44 10980776 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 03.01.2007 00:19:44 10980776 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 03.12.2002 02:02:58 491520 C:\WINDOWS\SYSTEM32\NCTAudioFile.dll
aspack 03.12.2002 02:07:08 168448 C:\WINDOWS\SYSTEM32\NCTAudioPlayer.dll
aspack 03.12.2002 02:11:10 143872 C:\WINDOWS\SYSTEM32\NCTWMAFile.dll
aspack 04.08.2004 08:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
UPX! 29.11.2005 21:45:44 22016 C:\WINDOWS\SYSTEM32\prospeed_bmp2jpg.dll
Umonitor 04.08.2004 08:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 29.08.2002 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
PTech 19.06.2006 15:19:26 304944 C:\WINDOWS\SYSTEM32\WgaTray.exe

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 06:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\HOSTS


Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
11.02.2007 19:45:26 S 2048 C:\WINDOWS\bootstat.dat
17.12.2006 17:12:12 H 388 C:\WINDOWS\network diagnostic\Sqm\NetDiag00.sqm
17.12.2006 17:28:38 H 644 C:\WINDOWS\network diagnostic\Sqm\NetDiag01.sqm
27.01.2007 13:10:04 H 25842736 C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5ad881bf7ccca165afcad53d7a558500\BIT62F.tmp
22.12.2006 11:53:02 S 7894 C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\KB929969.cat
11.02.2007 19:49:14 H 1024 C:\WINDOWS\system32\config\default.LOG
11.02.2007 19:45:32 H 1024 C:\WINDOWS\system32\config\SAM.LOG
11.02.2007 19:55:40 H 1024 C:\WINDOWS\system32\config\SECURITY.LOG
11.02.2007 20:00:56 H 1024 C:\WINDOWS\system32\config\software.LOG
11.02.2007 19:55:48 H 1024 C:\WINDOWS\system32\config\system.LOG
11.01.2007 07:21:56 H 1024 C:\WINDOWS\system32\config\systemprofile\NTUSER.DAT.LOG
29.01.2007 20:11:36 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\8eddf7d8-35ca-4bfa-bd81-efbfa278a9f1
29.01.2007 20:11:36 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\Preferred
18.12.2006 17:27:26 HS 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\36d47a52-0ac0-42e5-b099-2b42fb158949
18.12.2006 17:27:26 HS 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
11.02.2007 19:45:30 H 6 C:\WINDOWS\Tasks\SA.DAT

Checking for CPL files...
Microsoft Corporation 04.08.2004 08:58:22 70656 C:\WINDOWS\SYSTEM32\access.cpl
Microsoft Corporation 04.08.2004 08:58:22 555008 C:\WINDOWS\SYSTEM32\appwiz.cpl
Microsoft Corporation 04.08.2004 08:58:22 110592 C:\WINDOWS\SYSTEM32\bthprops.cpl
Microsoft Corporation 04.08.2004 08:58:22 138240 C:\WINDOWS\SYSTEM32\desk.cpl
Microsoft Corporation 04.08.2004 08:58:22 80384 C:\WINDOWS\SYSTEM32\firewall.cpl
Microsoft Corporation 04.08.2004 08:58:22 157184 C:\WINDOWS\SYSTEM32\hdwwiz.cpl
Microsoft Corporation 17.10.2006 12:05:48 1817088 C:\WINDOWS\SYSTEM32\inetcpl.cpl
Microsoft Corporation 04.08.2004 08:58:22 133120 C:\WINDOWS\SYSTEM32\intl.cpl
Microsoft Corporation 04.08.2004 08:58:22 381440 C:\WINDOWS\SYSTEM32\irprops.cpl
Microsoft Corporation 04.08.2004 08:58:22 69632 C:\WINDOWS\SYSTEM32\joy.cpl
Sun Microsystems, Inc. 10.11.2005 12:03:50 49265 C:\WINDOWS\SYSTEM32\jpicpl32.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\main.cpl
Microsoft Corporation 04.08.2004 08:58:22 625152 C:\WINDOWS\SYSTEM32\mmsys.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\ncpa.cpl
Microsoft Corporation 04.08.2004 08:58:22 25600 C:\WINDOWS\SYSTEM32\netsetup.cpl
Microsoft Corporation 04.08.2004 08:58:22 260096 C:\WINDOWS\SYSTEM32\nusrmgr.cpl
Microsoft Corporation 04.08.2004 08:58:22 32768 C:\WINDOWS\SYSTEM32\odbccp32.cpl
Microsoft Corporation 04.08.2004 08:58:22 117248 C:\WINDOWS\SYSTEM32\powercfg.cpl
Microsoft Corporation 04.08.2004 08:58:22 303104 C:\WINDOWS\SYSTEM32\sysdm.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\telephon.cpl
Microsoft Corporation 04.08.2004 08:58:22 94208 C:\WINDOWS\SYSTEM32\timedate.cpl
Microsoft Corporation 04.08.2004 08:58:22 148480 C:\WINDOWS\SYSTEM32\wscui.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\wuaucpl.cpl
Microsoft Corporation 17.10.2006 12:05:48 1817088 C:\WINDOWS\SYSTEM32\dllcache\inetcpl.cpl
Microsoft Corporation 29.08.2002 13:00:00 189440 C:\WINDOWS\SYSTEM32\dllcache\main.cpl
Microsoft Corporation 29.08.2002 13:00:00 35840 C:\WINDOWS\SYSTEM32\dllcache\ncpa.cpl
Microsoft Corporation 29.08.2002 13:00:00 28160 C:\WINDOWS\SYSTEM32\dllcache\telephon.cpl
Microsoft Corporation 26.05.2005 03:16:22 174872 C:\WINDOWS\SYSTEM32\dllcache\wuaucpl.cpl

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...
01.08.2006 19:44:52 1737 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
01.04.2004 10:43:12 HS 84 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini

Checking files in %ALLUSERSPROFILE%\Application Data folder...
01.04.2004 11:30:16 HS 62 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\desktop.ini
22.12.2006 11:33:10 1759 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache

Checking files in %USERPROFILE%\Startup folder...
01.04.2004 10:43:12 HS 84 C:\Dokumente und Einstellungen\Mutzel\Startmenü\Programme\Autostart\desktop.ini
08.07.2005 13:27:06 978944 C:\Dokumente und Einstellungen\Mutzel\Startmenü\Programme\Autostart\hardcopy.exe

Checking files in %USERPROFILE%\Application Data folder...
26.03.2006 12:27:48 1055 C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\AdobeDLM.log
01.04.2004 11:30:16 HS 62 C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\desktop.ini
26.03.2006 12:27:48 0 C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\dm.ini

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\CopyToCD
{2AA59FC0-31E8-42DA-9D3C-E9A52953853B} = C:\DOKUME~1\Mutzel\EIGENE~1\VSO\COPYTO~1\CTCDSH~1.DLL
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLiteShell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu
{85BBD920-42A0-1069-A2E4-08002B30309D} = syncui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\CopyToCD
{2AA59FC0-31E8-42DA-9D3C-E9A52953853B} = C:\DOKUME~1\Mutzel\EIGENE~1\VSO\COPYTO~1\CTCDSH~1.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\CopyToCD
{2AA59FC0-31E8-42DA-9D3C-E9A52953853B} = C:\DOKUME~1\Mutzel\EIGENE~1\VSO\COPYTO~1\CTCDSH~1.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ICQLiteMenu
{73B24247-042E-4EF5-ADC2-42F62E6FD654} = C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLiteShell.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{F9DB5320-233E-11D1-9F84-707F02C10627}
= C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
AcroIEHlprObj Class = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
SSVHelper Class = C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}
Google Toolbar Helper = c:\programme\google\googletoolbar3.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}
EpsonToolBandKicker Class = C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} = EPSON Web-To-Page : C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
{2318C2B1-4965-11d4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar3.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherchieren :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B863453A-26C3-4e1f-A54D-A2CD196348E9}
ButtonText = ICQ Lite : C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}
MenuText = @xpsp3res.dll,-20001 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{21569614-B795-46B1-85F4-E737A8DC09AD}
Shell Search Band = %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38}
IE Search Band = C:\WINDOWS\system32\ieframe.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E61-B078-11D0-89E4-00C04FC9E26E}
Favorites Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E62-B078-11D0-89E4-00C04FC9E26E}
History Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{EFA24E64-B078-11D0-89E4-00C04FC9E26E}
Explorer-Band = %SystemRoot%\System32\shdocvw.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}
&Recherchieren = C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{014DA6C9-189F-421A-88CD-07CFE51CFF10} = :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} = :
{EE5D279F-081B-4404-994D-C6B60AAEBA6D} = EPSON Web-To-Page : C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} = :
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar3.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SiSUSBRG C:\WINDOWS\SiSUSBrg.exe
mouseElf C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
Cmaudio RunDll32 cmicnfg.cpl,CMICtrlWnd
SiS Windows KeyHook C:\WINDOWS\System32\keyhook.exe
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
PCTVOICE pctspk.exe
PV92TRAY PV92Tray.exe
T-DSL SpeedMgr "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
BusinessOnline Log "C:\Programme\T-DSL Business\BOLog.exe"
EPSON Stylus C86 Series C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
RemoteControl C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
QuickTime Task "C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
MSMSGS "C:\Programme\Messenger\msmsgs.exe" /background
Instant Access rundll32.exe EGDACCESS_1056.dll,InstantAccess
MsnMsgr "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
swg C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
ICQ Lite C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQLite.exe -trayboot

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Associations

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:\WINDOWS\system32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ckpNotify
= ckpNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
= WgaLogon.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
WinPFind v1.4.1 - Log file written to "WinPFind.Txt" in the WinPFind folder.
Scan completed on 11.02.2007 20:04:07
Seitenanfang Seitenende
11.02.2007, 20:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei "fixme.reg" auf dem Desktop doppelklicken

Zitat

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Instant Access"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
Avenger

Zitat

Registry values to delete:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Program Files\Internet Explorer\IEXPLORE.EXE

Files to delete:
C:\WINDOWS\system32\EGDACCESS_1056.dll
C:\WINDOWS\ExeDialer.exe
C:\WINDOWS\spielesammlung[ssg-10001,1,a63e].exe
C:\WINDOWS\Teste dich jetzt ![iet-10095,de,1].exe
C:\Dokumente und Einstellungen\Mutzel\Startmenü\Programme\Autostart\hardcopy.exe
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part1.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part2.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part3.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part4.rar
C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\latex_anal_nurses.rar

Folders to delete:
C:\Programme\Instant Access

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scane und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 21:33
Member

Themenstarter

Beiträge: 33
#7 Avenger:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\msrmdsiq

*******************

Script file located at: \??\C:\WINDOWS\dobjeqor.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry value HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List|C:\Program Files\Internet Explorer\IEXPLORE.EXE deleted successfully.
File C:\WINDOWS\system32\EGDACCESS_1056.dll deleted successfully.
File C:\WINDOWS\ExeDialer.exe deleted successfully.
File C:\WINDOWS\spielesammlung[ssg-10001,1,a63e].exe deleted successfully.
File C:\WINDOWS\Teste dich jetzt ![iet-10095,de,1].exe deleted successfully.
File C:\Dokumente und Einstellungen\Mutzel\Startmenü\Programme\Autostart\hardcopy.exe deleted successfully.
File C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part1.rar deleted successfully.
File C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part2.rar deleted successfully.
File C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part3.rar deleted successfully.
File C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\musi\winrar\Formats-\Bilder\danielle[1].part4.rar deleted successfully.
Folder C:\Programme\Instant Access deleted successfully.

Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\msrmdsiq

*******************

Script file located at: \??\C:\WINDOWS\dobjeqor.txt

Script file not found! Error

Could not open script file! Status: 0xc0000034 Abort!





SDFIX:

in arbeit^^





DANKE ;)
Dieser Beitrag wurde am 11.02.2007 um 22:01 Uhr von Marcl editiert.
Seitenanfang Seitenende
11.02.2007, 21:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scane und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2007, 22:18
Member

Themenstarter

Beiträge: 33
#9 Sophos Anti-Virus
Version 4.14.0 [Win32/Intel]
Virus data version 4.14, February 2007
Includes detection for 216472 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 20:59:42, System date 11 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan


>>> Virus 'Troj/Deldo-Gen' found in file C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KRTRY2J9\bild_album[1].exe
Removal failed
Password protected file C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0600win_DEUyhoo0010.pdf
>>> Virus 'Mal/Packer' found in file C:\Dokumente und Einstellungen\Mutzel\Desktop\leecher.exe
Removal successful
Could not check C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\Daten\ICQ LITE\ICQ Lite\331912273\mona_308480376\Antigone- Fotoroman.ppt (corrupt)
>>> Virus 'Mal/Packer' found in file C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\Daten\ICQ LITE\ICQLite\ICQ Lite5.0\331912273\Franky_275807107\sft\leecher.exe
Removal successful
Could not check C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\Daten\ICQ LITE\ICQLite\ICQ Lite5.0\331912273\Simon„_297200298\Dok1.doc (corrupt)
Could not check C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\Daten\ICQ LITE\ICQLite\ICQ Lite5.0\331912273\Simon„_297200298\samstag.doc (corrupt)
Could not check C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQ Lite\331912273\mona_308480376\Antigone- Fotoroman.ppt (corrupt)
>>> Virus 'Mal/Packer' found in file C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQ Lite5.0\331912273\Franky_275807107\sft\leecher.exe
Removal successful
Could not check C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQ Lite5.0\331912273\Simon„_297200298\Dok1.doc (corrupt)
Could not check C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\ICQLite\ICQ Lite5.0\331912273\Simon„_297200298\samstag.doc (corrupt)
Could not check C:\Dokumente und Einstellungen\Mutzel\Eigene Dateien\temp9\nwz\Artikel NWZ.doc (corrupt)
>>> Virus 'Troj/Deldo-Gen' found in file C:\Dokumente und Einstellungen\Mutzel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IK9W04AW\bild_album[1].exe
Removal successful
>>> Virus 'Troj/Deldo-Gen' found in file C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F9C52KTQ\bild_album[1].exe
Removal failed
>>> Virus 'Troj/Deldo-Gen' found in file C:\Dokumente und Einstellungen\Veronika\Lokale Einstellungen\Temporary Internet Files\Content.IE5\89ABCDEF\bild_album[1].exe
Removal failed
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
>>> Virus 'Troj/Deldo-Gen' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP303\A0302420.exe
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP303\A0302421.dll
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP303\A0304855.dll
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP303\A0304906.dll
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP303\A0305007.dll
Removal successful
>>> Virus 'Mal/Clagger-A' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP304\A0305060.exe
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP304\A0305061.dll
Removal successful
>>> Virus 'Mal/Cimuz-A' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP304\A0305062.dll
Removal successful
>>> Virus 'Dial/Intex-B' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP304\A0306123.exe
Removal successful
>>> Virus 'Dial/Intex-B' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP304\A0306124.exe
Removal successful
>>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP304\A0306155.exe
Removal successful

1 boot sector swept.
70513 files swept in 1 hour, 17 minutes and 31 seconds.
14 errors were encountered.
18 viruses were discovered.
18 files out of 70513 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
7 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
11.02.2007, 22:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 1.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

2.
scanne mit Ewido und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2007, 20:09
Member

Themenstarter

Beiträge: 33
#11 Datenträger Bereinigung ok


Scanreport:

Ewido:

ähm, ich habs durchgeführt aber weder bei der internet version noch bei der pc version kommt ein bericht?
warum?
Dieser Beitrag wurde am 12.02.2007 um 22:18 Uhr von Marcl editiert.
Seitenanfang Seitenende
13.02.2007, 01:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Scan-Bericht speichern


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.02.2007, 17:04
Member

Themenstarter

Beiträge: 33
#13 ---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 17:02:56 13.02.2007

+ Scan-Ergebnis:



C:\System Volume Information\_restore{74C3444B-2B53-4CD7-9205-21DE14DC10C7}\RP304\A0306172.exe -> Backdoor.Virkel.A : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Mutzel\Cookies\mutzel@2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Mutzel\Cookies\mutzel@msnaccountservices.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Mutzel\Cookies\mutzel@atdmt[2].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Mutzel\Cookies\mutzel@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Mutzel\Cookies\mutzel@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Mutzel\Cookies\mutzel@komtrack[2].txt -> TrackingCookie.Komtrack : Keine Aktion durchgeführt.


::Berichtende



Alles wurde gelöscht was dort als infiziert angezeigt wurde!
Dieser Beitrag wurde am 13.02.2007 um 17:09 Uhr von Marcl editiert.
Seitenanfang Seitenende
14.02.2007, 00:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 »»
loesche die backups vom Avenger und leere den Papierkorb

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\h" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2007, 13:30
Member

Themenstarter

Beiträge: 33
#15 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\h

11.02.2007 17:52 <DIR> .
11.02.2007 17:52 <DIR> ..
11.02.2007 17:52 1.317 c.txt
11.02.2007 17:51 1.108 down.txt
11.02.2007 17:50 633 systemtemp.txt
11.02.2007 17:51 396 temp.txt
11.02.2007 17:51 2.299 windows.txt
5 Datei(en) 5.753 Bytes
2 Verzeichnis(se), 63.637.291.008 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 17:52 697 DirectAnimation Java Classes.osd
09.06.2006 10:36 282.624 dwa7W.dll
09.06.2006 10:36 353 dwa7W.inf
02.03.2006 14:40 1.271 erma.inf
11.07.2006 09:41 345.656 ewidoOnlineScan.dll
13.05.2004 17:37 356.352 inotes6.dll
23.06.2005 15:45 262.144 inotes6W.dll
23.06.2005 15:45 360 inotes6W.inf
29.05.2003 14:00 160.864 messengerstatsclient.dll
06.04.2004 19:03 172.072 MessengerStatsPAClient.dll
20.01.2000 14:25 1.162 Microsoft XML Parser for Java.osd
29.05.2003 14:00 84.064 minesweeper.dll
26.05.2005 03:19 293 muweb.inf
29.05.2003 14:00 86.112 solitaireshowdown.dll
27.08.2005 13:30 5.065 swflash.inf
17.11.2004 22:44 114.728 Zintro.ocx
16 Datei(en) 1.873.817 Bytes
0 Verzeichnis(se), 63.637.286.912 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Program Files

02.03.2006 09:08 <DIR> .
02.03.2006 09:08 <DIR> ..
13.06.2006 19:13 <DIR> ICQLite
08.06.2006 20:23 <DIR> Mafia
06.11.2005 14:09 <DIR> MobileForcesDemo
0 Datei(en) 0 Bytes
5 Verzeichnis(se), 63.637.286.912 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Dokumente und Einstellungen\Mutzel\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Dokumente und Einstellungen\Mutzel\Lokale Einstellungen\Temp

14.02.2007 13:29 <DIR> .
14.02.2007 13:29 <DIR> ..
12.02.2007 22:05 <DIR> ewido_quarantine
12.02.2007 20:03 <DIR> ewido_signatures
13.02.2007 19:42 1.236 jusched.log
12.02.2007 21:32 <DIR> rb
11.02.2007 18:04 0 vga1.tmp
11.02.2007 19:20 0 vga2.tmp
11.02.2007 19:26 0 vga3.tmp
11.02.2007 19:33 0 vga4.tmp
11.02.2007 19:48 0 vga5.tmp
11.02.2007 20:52 0 vga6.tmp
12.02.2007 19:54 0 vga7.tmp
12.02.2007 22:15 <DIR> vga8
12.02.2007 22:15 0 vga8.tmp
13.02.2007 15:10 <DIR> vga9
13.02.2007 15:10 0 vga9.tmp
13.02.2007 19:32 <DIR> vgaA
13.02.2007 19:32 0 vgaA.tmp
14.02.2007 13:23 <DIR> vgaB
14.02.2007 13:23 0 vgaB.tmp
13.02.2007 20:12 16.384 ~DF50D7.tmp
13.02.2007 20:12 16.384 ~DF50FA.tmp
13.02.2007 20:12 16.384 ~DF5113.tmp
13.02.2007 20:12 16.384 ~DF512C.tmp
13.02.2007 19:47 16.384 ~DF57ED.tmp
13.02.2007 20:12 16.384 ~DF7C8.tmp
13.02.2007 20:12 16.384 ~DF7E1.tmp
13.02.2007 20:12 16.384 ~DF7FA.tmp
13.02.2007 20:12 16.384 ~DF813.tmp
13.02.2007 19:48 16.384 ~DF81B9.tmp
12.02.2007 20:53 16.384 ~DF8457.tmp
12.02.2007 20:53 16.384 ~DF8656.tmp
12.02.2007 20:53 16.384 ~DF8684.tmp
12.02.2007 20:53 16.384 ~DF869D.tmp
12.02.2007 20:10 16.384 ~DF8B89.tmp
13.02.2007 19:48 16.384 ~DF8F57.tmp
12.02.2007 20:10 16.384 ~DF92D2.tmp
13.02.2007 19:47 16.384 ~DFAD2A.tmp
11.02.2007 19:54 16.384 ~DFB702.tmp
12.02.2007 21:01 16.384 ~DFBE4B.tmp
11.02.2007 19:54 16.384 ~DFC021.tmp
12.02.2007 21:03 16.384 ~DFD8A.tmp
12.02.2007 21:03 16.384 ~DFDA3.tmp
12.02.2007 21:03 16.384 ~DFDBD.tmp
12.02.2007 21:03 16.384 ~DFDD6.tmp
12.02.2007 21:01 16.384 ~DFE627.tmp
11.02.2007 19:55 16.384 ~DFF7CB.tmp
11.02.2007 19:55 16.384 ~DFF7EE.tmp
11.02.2007 19:55 16.384 ~DFF807.tmp
11.02.2007 19:55 16.384 ~DFF820.tmp
13.02.2007 19:48 16.384 ~DFF961.tmp
13.02.2007 19:48 16.384 ~DFF97A.tmp
13.02.2007 19:48 16.384 ~DFF993.tmp
13.02.2007 19:48 16.384 ~DFF9AC.tmp
46 Datei(en) 558.292 Bytes
9 Verzeichnis(se), 63.637.282.816 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\WINDOWS\Temp

14.02.2007 13:23 <DIR> .
14.02.2007 13:23 <DIR> ..
11.02.2007 19:48 16.384 Perflib_Perfdata_138.dat
11.02.2007 18:04 16.384 Perflib_Perfdata_43c.dat
14.02.2007 13:23 16.384 Perflib_Perfdata_720.dat
12.02.2007 22:15 16.384 Perflib_Perfdata_8c8.dat
13.02.2007 15:10 16.384 Perflib_Perfdata_8cc.dat
11.02.2007 20:53 16.384 Perflib_Perfdata_8dc.dat
12.02.2007 14:45 16.384 Perflib_Perfdata_948.dat
11.02.2007 19:20 16.384 Perflib_Perfdata_98c.dat
12.02.2007 19:55 16.384 Perflib_Perfdata_9c0.dat
13.02.2007 19:32 16.384 Perflib_Perfdata_ad4.dat
11.02.2007 19:27 16.384 Perflib_Perfdata_b08.dat
11.02.2007 19:33 16.384 Perflib_Perfdata_b70.dat
14.02.2007 13:23 255 WGAErrLog.txt
14.02.2007 13:23 409 WGANotify.settings
14 Datei(en) 197.272 Bytes
2 Verzeichnis(se), 63.637.282.816 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Temp

10.02.2007 20:23 <DIR> .
10.02.2007 20:23 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 63.637.282.816 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Programme

12.02.2007 20:14 <DIR> .
12.02.2007 20:14 <DIR> ..
26.03.2006 12:22 <DIR> Adobe
18.07.2006 14:16 <DIR> Ahead
26.11.2006 10:44 <DIR> ANNO1602
28.10.2004 15:54 <DIR> ArcSoft
28.07.2005 10:40 <DIR> Audio Edit
31.12.2005 10:25 <DIR> Auran
28.01.2007 15:13 <DIR> AWS
21.05.2004 19:10 <DIR> Belkin
28.04.2005 15:09 <DIR> Black Isle
01.04.2004 12:35 <DIR> C-Media 3D Audio
30.09.2004 20:01 <DIR> CheckPoint
11.02.2007 17:11 <DIR> CleanUp!
09.04.2005 14:37 <DIR> Core Design
03.01.2007 14:17 <DIR> Cossacks - Back To War
02.03.2006 09:25 <DIR> Creative
30.01.2006 13:22 <DIR> CyberLink
18.06.2005 12:11 <DIR> EPSON
10.10.2004 12:54 <DIR> Firefly Studios
28.01.2007 15:13 <DIR> GameSpy Arcade
11.02.2007 13:38 <DIR> Gemeinsame Dateien
07.08.2006 13:07 <DIR> Genius NetScroll Series Mouse
31.08.2004 15:06 <DIR> Glamus
02.02.2007 14:00 <DIR> Google
12.02.2007 20:14 <DIR> Grisoft
01.02.2007 20:52 <DIR> Hardcopy
13.06.2006 16:51 <DIR> ICQLite
01.03.2005 13:37 <DIR> Illusion Softworks
09.12.2006 16:32 <DIR> Internet Explorer
11.04.2006 19:05 <DIR> Java
05.08.2005 17:53 <DIR> JoWooD
12.08.2004 10:11 <DIR> LucasArts
11.12.2006 15:43 <DIR> Maxis
07.08.2006 13:07 <DIR> Messenger
01.04.2004 10:43 <DIR> microsoft frontpage
03.02.2007 13:02 <DIR> Microsoft Games
11.08.2004 13:11 <DIR> Microsoft Office
11.08.2004 13:12 <DIR> Microsoft.NET
28.11.2005 20:36 <DIR> Mousometer
07.08.2006 13:07 <DIR> Movie Maker
20.03.2005 14:14 <DIR> MSN
11.04.2006 19:06 <DIR> MSN Apps
01.04.2004 10:40 <DIR> MSN Gaming Zone
14.04.2006 13:03 <DIR> MSN Messenger
01.04.2004 11:02 <DIR> MSXML 4.0
01.04.2004 12:05 <DIR> Multimedia V3.54
24.02.2005 14:42 <DIR> MySearch
06.03.2006 20:35 <DIR> Nero
06.10.2004 12:27 <DIR> NetMeeting
16.02.2006 18:46 <DIR> NovaLogic
01.04.2004 10:40 <DIR> Online Services
01.04.2004 10:42 <DIR> Online-Dienste
16.12.2006 13:01 <DIR> Outlook Express
24.01.2007 21:20 <DIR> pdfmailer3stddeV-3.0.9
03.09.2005 15:58 <DIR> Phototool
24.02.2005 13:50 <DIR> Piraten vor Port Royale
17.04.2005 09:27 <DIR> Port Royale
14.05.2005 11:23 <DIR> PRINT FIT
01.11.2006 12:46 <DIR> QuickTime
23.01.2006 13:12 <DIR> Red Storm Entertainment
03.10.2005 13:40 <DIR> Rockstar Games
23.10.2005 16:32 <DIR> SCi
10.05.2004 10:18 <DIR> sixteen tons entertainment
08.11.2005 15:34 <DIR> Skype
07.12.2005 14:20 <DIR> T-Com W-LAN Manager
07.08.2006 13:07 <DIR> T-DSL Business
14.05.2006 19:03 <DIR> T-DSL SpeedManager
14.03.2006 14:29 <DIR> Tesseraction Games
05.08.2005 09:39 <DIR> TrekStor
23.12.2004 10:50 <DIR> ubi.com
25.07.2004 20:16 <DIR> Uninstall Information
07.08.2006 13:07 <DIR> Valve
12.07.2004 18:26 <DIR> WildTangent
07.08.2006 13:07 <DIR> Windows Media Player
06.10.2004 12:27 <DIR> Windows NT
20.01.2007 22:19 <DIR> Wings of War
28.02.2006 11:57 <DIR> WinRAR
01.04.2004 10:43 <DIR> xerox
0 Datei(en) 0 Bytes
79 Verzeichnis(se), 63.637.278.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Dokumente und Einstellungen\Mutzel\Lokale Einstellungen\Anwendungsdaten

30.03.2005 12:15 <DIR> Adobe
06.03.2006 20:38 <DIR> Ahead
01.11.2006 12:47 <DIR> Apple Computer
14.02.2007 13:29 184.320 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
08.11.2006 13:55 46.256 GDIPFONTCACHEV1.DAT
29.12.2006 12:38 <DIR> Google
26.09.2004 17:08 <DIR> Help
20.07.2004 14:24 <DIR> Identities
10.02.2007 23:43 <DIR> Microsoft
12.07.2004 19:49 <DIR> Wildtangent
04.01.2007 22:28 <DIR> WMTools Downloaded Files
2 Datei(en) 230.576 Bytes
9 Verzeichnis(se), 63.637.278.720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Dokumente und Einstellungen\Mutzel\Anwendungsdaten

24.11.2006 15:03 <DIR> Adobe
12.11.2005 19:51 <DIR> AdobeAUM
26.03.2006 12:27 1.055 AdobeDLM.log
30.03.2005 12:13 <DIR> AdobeUM
25.10.2005 12:06 <DIR> Ahead
22.12.2006 11:34 <DIR> Apple Computer
28.10.2004 16:09 <DIR> ArcSoft
30.01.2006 19:57 <DIR> CyberLink
26.03.2006 12:27 0 dm.ini
25.09.2005 10:02 <DIR> Google
26.09.2004 17:08 <DIR> Help
12.07.2004 19:51 <DIR> ICQLite
21.04.2004 14:52 <DIR> Identities
22.12.2006 11:57 <DIR> Leadertech
02.02.2007 15:02 <DIR> LimeWire
29.03.2006 15:57 <DIR> Macromedia
20.03.2005 14:10 <DIR> MSN6
08.02.2007 21:52 <DIR> Skype
18.10.2005 11:30 <DIR> Sun
13.07.2004 19:36 <DIR> T-DSL SpeedManager
20.12.2005 20:12 <DIR> teamspeak2
21.12.2006 18:29 <DIR> vlc
2 Datei(en) 1.055 Bytes
20 Verzeichnis(se), 63.637.274.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

01.08.2006 19:44 <DIR> Adobe
01.04.2004 12:10 <DIR> Ahead
01.11.2006 12:46 <DIR> Apple Computer
30.01.2006 13:22 <DIR> CyberLink
02.11.2006 09:53 <DIR> Google
24.01.2007 21:23 <DIR> gotomaxx
23.12.2005 12:26 <DIR> Macromedia
09.05.2004 19:25 <DIR> MSN6
22.12.2006 11:33 1.759 QTSBandwidthCache
10.05.2004 06:49 <DIR> QuickTime
08.11.2005 15:34 <DIR> Skype
23.04.2006 18:24 <DIR> T-DSL SpeedManager
25.12.2006 18:20 <DIR> Terzio
30.07.2006 20:05 <DIR> Windows Genuine Advantage
1 Datei(en) 1.759 Bytes
13 Verzeichnis(se), 63.637.274.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Programme\Gemeinsame Dateien

11.02.2007 13:38 <DIR> .
11.02.2007 13:38 <DIR> ..
12.02.2006 18:44 <DIR> Adobe
18.07.2006 14:14 <DIR> Ahead
05.01.2006 10:50 <DIR> Audio
05.01.2006 10:49 <DIR> Background
09.12.2005 15:22 1.430 boundkey.txt
05.01.2006 10:49 <DIR> Cars
05.01.2006 10:49 <DIR> Data
11.08.2004 13:11 <DIR> DESIGNER
01.04.2004 10:41 <DIR> Dienste
23.09.2002 19:25 590.336 em2uw.exe
24.09.2002 01:27 75 em2uw.ini
23.01.2004 13:56 1.306.624 Emergency2.exe
07.01.2006 13:35 1.977 Emergency2.log
01.04.2005 16:04 <DIR> EPSON
05.01.2006 10:50 <DIR> Handbuch
05.01.2006 10:50 <DIR> Houses
30.11.2004 15:13 <DIR> InstallShield
29.07.2005 18:18 <DIR> Java
05.01.2006 10:50 <DIR> Level
15.11.2003 14:23 2.916 license.txt
29.09.2005 15:41 <DIR> Microsoft Shared
05.01.2006 10:50 <DIR> Misc
09.12.2005 15:22 55 ModsSettings.txt
01.12.2005 14:50 83 moorhuhn2.sav
01.04.2004 10:41 <DIR> MSSoap
05.01.2006 10:49 <DIR> Objects
09.01.2006 18:17 <DIR> ODBC
09.12.2005 15:22 1.115 patton.kmp
05.01.2006 10:50 <DIR> Persons
23.12.2004 10:50 <DIR> PocketSoft
15.11.2003 14:34 950 readme.txt
09.12.2005 15:22 789 Rommel.log
07.01.2006 13:15 <DIR> SaveGames
09.12.2005 15:20 <DIR> Skisprung Wintercup 2005 DEMO
01.04.2004 11:30 <DIR> SpeechEngines
08.03.2006 15:01 <DIR> Synacast
16.12.2006 13:01 <DIR> System
05.01.2006 10:50 <DIR> updates
05.01.2006 10:51 <DIR> Videos
03.01.2006 22:26 5.530.072 winamp512_full_emusic-7plus.exe
12 Datei(en) 7.436.422 Bytes
30 Verzeichnis(se), 63.637.274.624 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: D816-D107

Verzeichnis von C:\Windows\tasks
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: