Trojaner Tr/dldr.dnschanger.gen - SpyMarshal

Thema ist geschlossen!
Thema ist geschlossen!
#0
17.02.2007, 18:35
Member

Beiträge: 123
#1 habe mal wieder einen virus oder einen trojaner weiß nicht so genau

hier mal mein virenscan




AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Samstag, 17. Februar 2007 17:02

Es wird nach 671405 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Thomas_2
Computername: MEIN-029SJ814IW

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 06.02.2007 20:59:24
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 20:59:25
ANTIVIR2.VDF : 6.37.1.37 495616 Bytes 05.02.2007 20:59:25
ANTIVIR3.VDF : 6.37.1.84 113152 Bytes 13.02.2007 20:58:56
AVEWIN32.DLL : 7.3.1.37 2306560 Bytes 13.02.2007 20:58:59
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.37.1.1 1105960 Bytes 06.02.2007 20:59:26
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31
AVREG.DLL : 7.0.1.2 30760 Bytes 06.02.2007 20:59:23
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Samstag, 17. Februar 2007 17:02

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mixer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 16 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP564\A0284748.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46093168.qua' verschoben!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP565\A0284763.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4609316e.qua' verschoben!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP565\A0285763.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46093170.qua' verschoben!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP565\A0286763.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46093174.qua' verschoben!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP565\A0287763.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46093176.qua' verschoben!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP565\A0288763.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46093179.qua' verschoben!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP565\A0289763.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4609317b.qua' verschoben!
C:\System Volume Information\_restore{57EE20BE-9986-4D32-8DDF-7A25F42232ED}\RP565\A0290763.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4609317d.qua' verschoben!
C:\WINDOWS\$NtUninstallKB824141$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB824141$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\accwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\crypt32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\cryptsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hh.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\hhsetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\itss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\locator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\magnify.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\migwiz.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\mrxsmb.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\msconv97.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\narrator.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\newdev.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntkrnlpa.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\ntoskrnl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\osk.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\pchshell.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\raspptp.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shell32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\shmedia.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srrstr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\srv.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\user32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\win32k.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\winsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826939$\zipfldr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\dhcpcsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\ndis.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\ndisuio.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\netshell.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\wzcdlg.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\wzcsapi.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB826942$\wzcsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\msgsvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828035$\wkssvc.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\catsrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\catsrvut.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\clbcatex.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\clbcatq.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\colbact.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comadmin.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comrepl.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comsvcs.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\comuid.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\es.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\migregdb.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\msdtcprx.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\msdtctm.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\msdtcuiu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\mtxclu.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\mtxoci.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\ole32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\rpcrt4.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\rpcss.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB828741$\txflog.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\callcont.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\cmdevtgprov.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\evtgprov.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\gdi32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\h323msp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\helpctr.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\ipnathlp.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\lsasrv.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\mf3216.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\msasn1.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\msgina.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\mst120.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\netapi32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\nmcom.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\rtcdll.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallKB835732$\schannel.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\$NtUninstallQ828026$\wmpcore.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\hbwnc.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.DNSChanger.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '464e366d.qua' verschoben!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Unzulässige Funktion.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Samstag, 17. Februar 2007 18:10
Benötigte Zeit: 1:08:35 min

Der Suchlauf wurde vollständig durchgeführt.

4040 Verzeichnisse wurden überprüft
203249 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
9 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
76 Dateien konnten nicht durchsucht werden
203240 Dateien ohne Befall
3662 Archive wurden durchsucht
76 Warnungen
0 Hinweise
Seitenanfang Seitenende
17.02.2007, 23:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 TomTom41

Erstellen eines Hijackthis-Logfiles
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einem Ordner
---> None of the above just start the program --> Scan -> Save log --> hijackthis.log - Save - es öffnet sich der Editor

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 12:04
Member

Themenstarter

Beiträge: 123
#3 hallo sabrina hier mein scan



Logfile of HijackThis v1.99.1
Scan saved at 12:02:06, on 18.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Mixer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Thomas_2\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - C:\DOKUME~1\Thomas_2\LOKALE~1\Temp\~DP22.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://manusuchi13.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171279224049
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E92E11A-B21B-4F25-869D-3B41A6118186}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{819D22F4-5885-48E1-B53C-1DB770F922A7}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEE7ED53-9226-4C46-A180-28525C1BBDEE}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Windows Management Service - Unknown owner - C:\WINDOWS\system32\.exe (file missing)


«
Seitenanfang Seitenende
18.02.2007, 12:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 TomTom41

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked

Zitat

O2 - BHO: (no name) - {598F4775-6FB6-477B-9842-E0426824E077} - C:\DOKUME~1\Thomas_2\LOKALE~1\Temp\~DP22.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E92E11A-B21B-4F25-869D-3B41A6118186}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{819D22F4-5885-48E1-B53C-1DB770F922A7}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEE7ED53-9226-4C46-A180-28525C1BBDEE}: NameServer = 85.255.113.94,85.255.112.19
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.19
»»
scanne, poste hier unbedingt den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html

-------------------------------------------------------------------

««
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc

TCP/IP-NetBIOS-Hilfsprogramm
- deaktivieren

««
Arbeitsplatz - Systemsteuerung - Netzwerk
Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken

««
- poste nun das log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 13:11
Member

Themenstarter

Beiträge: 123
#5 bekomme das mit dem datfindbad nicht
versuche was einfaches

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\WINDOWS\system32

14.02.2007 02:18 2.206 wpa.dbl
10.02.2007 21:12 9.857 jupdate-1.5.0_11-b03.log
10.02.2007 16:09 3.534 jupdate-1.5.0_03-b07.log
06.02.2007 00:34 0 kernel32.exe
27.01.2007 11:05 224.816 FNTCACHE.DAT
25.12.2006 13:44 21.052 SIntfNT.dll
25.12.2006 13:44 15.144 SIntf32.dll
25.12.2006 13:44 12.067 SIntf16.dll
21.12.2006 16:37 1.385.744 MSVBVM60.DLL
15.12.2006 03:09 127.078 javaws.exe
15.12.2006 03:09 49.265 jpicpl32.cpl
15.12.2006 01:31 53.346 javaw.exe
15.12.2006 01:30 49.248 java.exe
11.12.2006 07:19 1.409 tmp184D4.FOT
11.12.2006 07:19 1.409 tmp881D4.FOT
11.12.2006 07:19 1.409 tmp970D4.FOT
10.12.2006 19:00 164.352 SpoonUninstall.exe
29.10.2006 10:26 311.740 perfh009.dat
29.10.2006 10:26 40.128 perfc009.dat
29.10.2006 10:26 316.924 perfh007.dat
29.10.2006 10:26 48.354 perfc007.dat
29.10.2006 10:26 724.710 PerfStringBackup.INI
07.10.2006 15:48 16.832 amcompat.tlb
07.10.2006 15:48 23.392 nscompat.tlb

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\DOKUME~1\Thomas_2\LOKALE~1\Temp

17.02.2007 22:42 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}11774.html
17.02.2007 16:54 7.286 jusched.log
17.02.2007 16:53 16.384 ~DFEE1B.tmp
16.01.2007 21:58 53.248 84a685.mst
28.10.2006 11:06 397.312 Window.dll

edit (Sabina)

Seitenanfang Seitenende
18.02.2007, 14:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 loesche manuell:
C:\WINDOWS\system32\kernel32.exe

und arbeite alles weitere ab, wie oben beschrieben - vor allem den CleanUp, um die temporaeren Dateien zu loeschen - HijackThis und fixwareout.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 17:39
Member

Themenstarter

Beiträge: 123
#7 habe nicht daran gedacht das ich zuerst alles senden soll nun hat er einen neustart gemacht soll ich die 6 textdadeinen noch senden?

habe alles so gemacht wie oben beschrieben

Fixwareout Last edited 2/11/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="cscsr.exe"
Service: "Windows Management Service" = C:\WINDOWS\System32\dmefr.exe

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "0mdm" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "1mdm" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "2mdm" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}210771265DF6-F88A-5994-0221-7A9E89DF{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}B4D4FD75A1FC-4808-54B4-1F6C-4F3B66F7{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "}A77028E14F5A-C109-F9A4-7DF9-F060C89F{" Deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\_r "rfemd" Deleted
....
»»»»» Misc files.
C:\Dokumente und Einstellungen\Thomas_2\Anwendungsdaten\Install.dat Deleted
C:\WINDOWS\System32\kernel32.exe Deleted
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.Jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe /startup"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"msnmsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»
Seitenanfang Seitenende
18.02.2007, 17:42
Member

Themenstarter

Beiträge: 123
#8 Logfile of HijackThis v1.99.1
Scan saved at 17:41:30, on 18.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Mixer.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O9IBSH2Z\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://manusuchi13.spaces.msn.com/PhotoUpload/MsnPUpld.cab?10,0,912,0
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171279224049
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
Seitenanfang Seitenende
18.02.2007, 19:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 TomTom41

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Management Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{598F4775-6FB6-477B-9842-E0426824E077}


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------------------------------


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 21:34
Member

Themenstarter

Beiträge: 123
#10 das tool bleibt immer an der selben stelle hängen
schreibt immer keine rückmeldung
bei Hkey_Local-Machine\Software\Classes\.r00


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 18.02.2007 21:11:23 for strings:
; 'windows management service
windows management service'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 18.02.2007 21:21:15 for strings:
; '{598f4775-6fb6-477b-9842-e0426824e077}
{598f4775-6fb6-477b-9842-e0426824e077}'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Seitenanfang Seitenende
18.02.2007, 22:08
Member

Themenstarter

Beiträge: 123
#11 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Program Files

06.02.2007 00:37 <DIR> .
06.02.2007 00:37 <DIR> ..
10.05.2004 20:14 <DIR> Ahead
27.01.2007 11:54 <DIR> ICQLite
06.02.2007 19:03 <DIR> SpyMarshal
0 Datei(en) 0 Bytes
5 Verzeichnis(se), 6.058.967.040 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temporary Internet Files\Content.IE5

18.02.2007 21:58 557.056 index.dat
1 Datei(en) 557.056 Bytes
0 Verzeichnis(se), 6.058.962.944 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp

18.02.2007 21:57 <DIR> .
18.02.2007 21:57 <DIR> ..
16.01.2007 21:58 53.248 84a685.mst
11.02.2007 22:11 5.043 CDMateLog.txt
28.10.2006 11:06 794.624 Core.dll
17.12.2004 11:51 36.864 ICQInstall.exe
12.10.2004 11:14 57.344 InstHelp.dll
17.02.2007 13:00 495 ISO2.nri
10.02.2007 16:06 25.904 java_install.log
14.02.2007 12:19 2.021 java_install_reg.log
10.02.2007 21:05 1.156 jinstall.cfg
10.02.2007 16:12 22.180 jrelog.txt
18.02.2007 17:33 7.457 jusched.log
06.02.2007 14:22 990.596 lindas.JPG
28.10.2006 11:06 308.280 Logo.bmp
11.02.2007 21:24 733.976.576 MyDisc.cmi
07.02.2007 21:48 <DIR> NeroDemo12071
08.02.2007 20:39 1.201 Nerof1e6b40745a047bd9099a9c89fdb7654.nri
06.02.2007 00:37 154 nkm54.tmp
18.02.2007 12:32 <DIR> nro.tmp
06.02.2007 07:42 16.384 Perflib_Perfdata_11c.dat
06.02.2007 15:26 16.384 Perflib_Perfdata_144.dat
06.02.2007 09:07 16.384 Perflib_Perfdata_148.dat
06.02.2007 14:16 16.384 Perflib_Perfdata_14c.dat
06.02.2007 05:52 16.384 Perflib_Perfdata_f4.dat
06.02.2007 13:44 <DIR> plugtmp
06.02.2007 13:44 46.092 plugtmp-1
09.02.2007 06:11 <DIR> plugtmp-2
09.02.2007 06:11 46.678 plugtmp-2-1
09.02.2007 07:20 46.678 plugtmp-2-10
09.02.2007 07:20 46.678 plugtmp-2-11
09.02.2007 07:21 46.678 plugtmp-2-12
09.02.2007 06:25 46.678 plugtmp-2-2
09.02.2007 06:29 46.678 plugtmp-2-3
09.02.2007 06:30 46.678 plugtmp-2-4
09.02.2007 06:31 46.678 plugtmp-2-5
09.02.2007 06:31 46.678 plugtmp-2-6
09.02.2007 06:35 46.678 plugtmp-2-7
09.02.2007 07:19 46.678 plugtmp-2-8
09.02.2007 07:20 46.678 plugtmp-2-9
10.02.2007 23:26 3.896 qtplugin.log
05.09.2001 06:03 167.936 Set14.tmp
11.04.2001 17:28 54.784 SET15.tmp
05.09.2001 05:23 56.320 SET16.tmp
05.09.2001 05:23 56.320 SET17.tmp
05.09.2001 21:23 56.320 SET1A.tmp
05.09.2001 05:23 56.320 SET1B.tmp
05.09.2001 06:03 168.448 SET1C.tmp
10.01.2000 13:52 139.264 set2C.tmp
05.09.2001 06:03 167.936 Set37.tmp
28.10.2006 11:06 294.912 Setup.exe
02.02.2007 01:36 20.560 TFR3D.tmp
16.02.2007 13:18 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}29321.html
18.02.2007 21:57 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}10127.html
14.02.2007 12:15 0 trb4.tmp
28.10.2006 11:06 397.312 Window.dll
11.02.2007 19:12 16.384 ~DF10B.tmp
09.02.2007 02:07 16.384 ~DF10F.tmp
11.02.2007 20:05 16.384 ~DF122A.tmp
09.02.2007 16:49 16.384 ~DF12B9.tmp
11.02.2007 19:12 512 ~DF131.tmp
11.02.2007 19:12 16.384 ~DF146.tmp
11.02.2007 19:12 512 ~DF159.tmp
11.02.2007 10:14 16.384 ~DF16B1.tmp
11.02.2007 19:12 16.384 ~DF16E.tmp
18.02.2007 17:29 16.384 ~DF1777.tmp
18.02.2007 17:29 512 ~DF1791.tmp
11.02.2007 19:12 512 ~DF180.tmp
10.02.2007 14:49 16.384 ~DF1815.tmp
10.02.2007 14:49 512 ~DF1827.tmp
06.02.2007 14:51 16.384 ~DF2274.tmp
06.02.2007 14:51 512 ~DF22E0.tmp
09.02.2007 15:24 16.384 ~DF2AF3.tmp
04.02.2007 17:44 16.384 ~DF2B1F.tmp
04.02.2007 17:44 16.384 ~DF2B38.tmp
04.02.2007 17:44 16.384 ~DF2B51.tmp
04.02.2007 17:44 16.384 ~DF2B6A.tmp
06.02.2007 22:06 16.384 ~DF2B85.tmp
06.02.2007 21:47 16.384 ~DF2D26.tmp
10.02.2007 20:54 16.384 ~DF2E0D.tmp
06.02.2007 18:32 16.384 ~DF2E4A.tmp
09.02.2007 15:24 16.384 ~DF30F4.tmp
14.02.2007 12:22 16.384 ~DF31BA.tmp
04.02.2007 13:20 16.384 ~DF31F5.tmp
06.02.2007 05:29 16.384 ~DF3236.tmp
06.02.2007 05:29 512 ~DF3247.tmp
06.02.2007 18:44 16.384 ~DF3407.tmp
06.02.2007 18:44 512 ~DF341B.tmp
06.02.2007 13:55 16.384 ~DF3429.tmp
11.02.2007 10:14 16.384 ~DF3461.tmp
04.02.2007 16:34 16.384 ~DF35C3.tmp
06.02.2007 22:57 16.384 ~DF3756.tmp
14.02.2007 12:22 16.384 ~DF3820.tmp
11.02.2007 20:05 16.384 ~DF3982.tmp
04.02.2007 16:34 16.384 ~DF3AFB.tmp
10.02.2007 14:49 16.384 ~DF3B2B.tmp
13.02.2007 12:17 16.384 ~DF3BC6.tmp
13.02.2007 12:17 512 ~DF3CAD.tmp
08.02.2007 00:46 16.384 ~DF3D85.tmp
08.02.2007 16:23 16.384 ~DF4435.tmp
08.02.2007 16:23 16.384 ~DF4462.tmp
08.02.2007 16:23 16.384 ~DF44A1.tmp
08.02.2007 16:23 16.384 ~DF44C8.tmp
08.02.2007 21:05 16.384 ~DF464C.tmp
27.01.2007 16:03 16.384 ~DF4D7C.tmp
27.01.2007 16:03 16.384 ~DF4D95.tmp
27.01.2007 16:03 16.384 ~DF4DC0.tmp
27.01.2007 16:03 16.384 ~DF4DDA.tmp
14.02.2007 14:05 16.384 ~DF4DF8.tmp
14.02.2007 14:05 16.384 ~DF4E1F.tmp
14.02.2007 14:05 16.384 ~DF4E58.tmp
14.02.2007 14:05 16.384 ~DF4E7F.tmp
09.02.2007 16:22 16.384 ~DF4F71.tmp
06.02.2007 22:58 16.384 ~DF5087.tmp
06.02.2007 08:08 16.384 ~DF51EF.tmp
06.02.2007 08:08 512 ~DF524F.tmp
08.02.2007 00:47 16.384 ~DF5845.tmp
06.02.2007 21:47 16.384 ~DF58BD.tmp
09.02.2007 20:45 16.384 ~DF5A13.tmp
09.02.2007 20:45 16.384 ~DF5A3A.tmp
06.02.2007 14:52 16.384 ~DF5A3F.tmp
09.02.2007 20:45 16.384 ~DF5A61.tmp
09.02.2007 20:45 16.384 ~DF5A88.tmp
18.02.2007 21:48 32.768 ~DF5D88.tmp
12.02.2007 07:38 16.384 ~DF5EB3.tmp
07.02.2007 17:09 16.384 ~DF612.tmp
10.02.2007 11:32 16.384 ~DF616.tmp
06.02.2007 18:32 16.384 ~DF61CD.tmp
06.02.2007 07:26 16.384 ~DF62D7.tmp
06.02.2007 07:26 512 ~DF631E.tmp
08.02.2007 17:41 16.384 ~DF684D.tmp
06.02.2007 18:45 16.384 ~DF68D0.tmp
06.02.2007 05:30 16.384 ~DF6980.tmp
13.02.2007 12:17 16.384 ~DF6B27.tmp
09.02.2007 21:02 16.384 ~DF6C76.tmp
09.02.2007 21:02 512 ~DF6C88.tmp
04.02.2007 13:21 16.384 ~DF6D63.tmp
09.02.2007 16:22 16.384 ~DF7227.tmp
13.02.2007 09:35 16.384 ~DF73E0.tmp
06.02.2007 08:42 16.384 ~DF7679.tmp
06.02.2007 08:42 512 ~DF769B.tmp
27.01.2007 16:12 16.384 ~DF76EF.tmp
06.02.2007 14:43 16.384 ~DF780A.tmp
09.02.2007 21:02 16.384 ~DF780F.tmp
08.02.2007 17:41 16.384 ~DF7814.tmp
06.02.2007 14:43 512 ~DF782E.tmp
12.02.2007 07:38 16.384 ~DF7A12.tmp
11.02.2007 18:56 16.384 ~DF7BAC.tmp
11.02.2007 18:56 512 ~DF7BBE.tmp
27.01.2007 16:12 16.384 ~DF7BCD.tmp
16.02.2007 02:35 16.384 ~DF845.tmp
11.02.2007 18:56 16.384 ~DF8510.tmp
27.01.2007 11:56 16.384 ~DF8695.tmp
03.02.2007 15:35 16.384 ~DF8896.tmp
06.02.2007 14:43 16.384 ~DF88E4.tmp
09.02.2007 16:26 16.384 ~DF894A.tmp
09.02.2007 16:26 16.384 ~DF8971.tmp
09.02.2007 16:26 16.384 ~DF8998.tmp
09.02.2007 16:26 16.384 ~DF89BF.tmp
10.02.2007 10:53 16.384 ~DF8C14.tmp
10.02.2007 10:53 512 ~DF8C53.tmp
17.02.2007 13:52 16.384 ~DF8EBD.tmp
17.02.2007 13:52 512 ~DF8ECF.tmp
07.02.2007 22:57 16.384 ~DF90DF.tmp
07.02.2007 22:57 512 ~DF90F2.tmp
03.02.2007 15:36 16.384 ~DF92EA.tmp
06.02.2007 08:27 16.384 ~DF93D4.tmp
06.02.2007 08:27 512 ~DF93DF.tmp
13.02.2007 09:35 16.384 ~DF95CB.tmp
14.02.2007 14:04 16.384 ~DF95D.tmp
14.02.2007 08:31 16.384 ~DF9698.tmp
02.02.2007 11:32 16.384 ~DF9813.tmp
09.02.2007 16:26 16.384 ~DF9A2D.tmp
09.02.2007 16:26 16.384 ~DF9A54.tmp
09.02.2007 16:26 16.384 ~DF9A7B.tmp
09.02.2007 16:26 16.384 ~DF9AA2.tmp
10.02.2007 14:17 16.384 ~DF9B00.tmp
10.02.2007 14:17 16.384 ~DF9B32.tmp
10.02.2007 14:17 16.384 ~DF9B5D.tmp
10.02.2007 14:17 16.384 ~DF9B87.tmp
14.02.2007 08:32 16.384 ~DF9C67.tmp
06.02.2007 07:27 16.384 ~DF9E7D.tmp
10.02.2007 10:54 16.384 ~DF9F6E.tmp
27.01.2007 18:54 16.384 ~DFA0F1.tmp
27.01.2007 18:54 16.384 ~DFA10A.tmp
27.01.2007 18:54 16.384 ~DFA123.tmp
27.01.2007 18:54 16.384 ~DFA173.tmp
16.02.2007 09:17 16.384 ~DFA36C.tmp
07.02.2007 22:58 16.384 ~DFA749.tmp
06.02.2007 08:09 16.384 ~DFA861.tmp
08.02.2007 00:11 16.384 ~DFAA23.tmp
31.01.2007 07:43 16.384 ~DFAA90.tmp
08.02.2007 00:11 512 ~DFAADA.tmp
10.02.2007 11:23 16.384 ~DFAD7.tmp
31.01.2007 09:56 16.384 ~DFB02B.tmp
03.02.2007 09:52 16.384 ~DFB4B8.tmp
03.02.2007 09:52 16.384 ~DFB4E4.tmp
05.02.2007 15:20 16.384 ~DFB4EC.tmp
05.02.2007 15:20 512 ~DFB4F7.tmp
03.02.2007 09:52 16.384 ~DFB4FD.tmp
03.02.2007 09:52 16.384 ~DFB516.tmp
28.01.2007 08:05 16.384 ~DFB67D.tmp
29.01.2007 10:57 16.384 ~DFB6AD.tmp
17.02.2007 13:53 16.384 ~DFB7EC.tmp
11.02.2007 19:12 16.384 ~DFBA.tmp
16.02.2007 12:32 16.384 ~DFBA44.tmp
05.02.2007 15:20 16.384 ~DFBA51.tmp
31.01.2007 07:43 16.384 ~DFBAEC.tmp
10.02.2007 11:32 16.384 ~DFBE2C.tmp
06.02.2007 22:06 16.384 ~DFBF4.tmp
17.02.2007 12:10 16.384 ~DFC0B4.tmp
17.02.2007 12:10 512 ~DFC132.tmp
11.02.2007 17:16 16.384 ~DFC171.tmp
02.02.2007 11:33 16.384 ~DFC202.tmp
06.02.2007 22:06 512 ~DFC2C.tmp
04.02.2007 18:00 16.384 ~DFC3E3.tmp
04.02.2007 18:00 16.384 ~DFC3FC.tmp
04.02.2007 18:00 16.384 ~DFC41C.tmp
04.02.2007 18:00 16.384 ~DFC440.tmp
17.02.2007 16:53 16.384 ~DFC4C3.tmp
16.02.2007 09:17 16.384 ~DFC599.tmp
08.02.2007 00:28 16.384 ~DFC5BF.tmp
08.02.2007 00:28 512 ~DFC609.tmp
27.01.2007 11:57 16.384 ~DFC914.tmp
08.02.2007 00:11 16.384 ~DFC9FE.tmp
14.02.2007 10:13 16.384 ~DFCB31.tmp
14.02.2007 10:13 16.384 ~DFCB58.tmp
14.02.2007 10:13 16.384 ~DFCB7F.tmp
14.02.2007 10:13 16.384 ~DFCBA6.tmp
06.02.2007 08:28 16.384 ~DFCC95.tmp
31.01.2007 09:56 16.384 ~DFCD3A.tmp
16.02.2007 02:34 16.384 ~DFCEB8.tmp
14.02.2007 10:13 16.384 ~DFCEEE.tmp
14.02.2007 10:13 16.384 ~DFCF15.tmp
14.02.2007 10:13 16.384 ~DFCF3C.tmp
14.02.2007 10:13 16.384 ~DFCF63.tmp
15.02.2007 09:15 16.384 ~DFD03B.tmp
15.02.2007 09:15 512 ~DFD08D.tmp
09.02.2007 15:23 16.384 ~DFD0D8.tmp
09.02.2007 15:23 16.384 ~DFD0FF.tmp
09.02.2007 15:23 16.384 ~DFD126.tmp
09.02.2007 15:23 16.384 ~DFD14E.tmp
27.01.2007 16:06 16.384 ~DFD1C6.tmp
27.01.2007 16:06 16.384 ~DFD1DF.tmp
27.01.2007 16:06 16.384 ~DFD1F8.tmp
27.01.2007 16:06 16.384 ~DFD211.tmp
27.01.2007 20:53 16.384 ~DFD232.tmp
17.02.2007 14:08 16.384 ~DFD36.tmp
06.02.2007 13:55 16.384 ~DFD68E.tmp
06.02.2007 13:55 512 ~DFD74E.tmp
17.02.2007 12:10 16.384 ~DFD7B9.tmp
17.02.2007 13:19 16.384 ~DFD803.tmp
17.02.2007 13:19 512 ~DFD817.tmp
28.01.2007 08:07 16.384 ~DFD978.tmp
11.02.2007 19:12 512 ~DFDA.tmp
30.01.2007 02:24 32.768 ~DFDA49.tmp
11.02.2007 17:16 16.384 ~DFDC42.tmp
14.02.2007 14:29 16.384 ~DFDDB4.tmp
16.02.2007 12:32 16.384 ~DFDE21.tmp
08.02.2007 20:49 16.384 ~DFDE91.tmp
08.02.2007 20:49 512 ~DFDEA3.tmp
13.02.2007 11:27 16.384 ~DFE04A.tmp
13.02.2007 11:27 16.384 ~DFE071.tmp
13.02.2007 11:27 16.384 ~DFE098.tmp
15.02.2007 02:33 16.384 ~DFE0B8.tmp
13.02.2007 11:27 16.384 ~DFE0BF.tmp
14.02.2007 14:29 16.384 ~DFE450.tmp
09.02.2007 02:07 16.384 ~DFE5DA.tmp
28.01.2007 18:22 16.384 ~DFE63A.tmp
27.01.2007 20:53 16.384 ~DFE66B.tmp
09.02.2007 13:00 16.384 ~DFE6BF.tmp
14.02.2007 14:04 16.384 ~DFE728.tmp
08.02.2007 00:29 16.384 ~DFEA23.tmp
09.02.2007 13:00 16.384 ~DFEC7E.tmp
28.01.2007 18:23 16.384 ~DFED83.tmp
17.02.2007 16:53 16.384 ~DFEE1B.tmp
02.02.2007 19:58 16.384 ~DFEE57.tmp
15.02.2007 09:16 16.384 ~DFEF57.tmp
10.02.2007 11:23 16.384 ~DFF07C.tmp
10.02.2007 11:23 512 ~DFF0CD.tmp
02.02.2007 19:58 16.384 ~DFF3A9.tmp
17.02.2007 14:08 16.384 ~DFF5CA.tmp
17.02.2007 14:08 512 ~DFF5DC.tmp
09.02.2007 16:49 16.384 ~DFF73A.tmp
04.02.2007 18:01 16.384 ~DFF74.tmp
08.02.2007 20:49 16.384 ~DFF769.tmp
16.02.2007 09:18 16.384 ~DFF7DB.tmp
15.02.2007 02:33 16.384 ~DFF7DD.tmp
16.02.2007 09:18 16.384 ~DFF802.tmp
16.02.2007 09:18 16.384 ~DFF829.tmp
16.02.2007 09:18 16.384 ~DFF851.tmp
04.02.2007 18:01 16.384 ~DFF91.tmp
04.02.2007 18:01 16.384 ~DFFC0.tmp
28.01.2007 08:41 16.384 ~DFFCFC.tmp
28.01.2007 08:41 16.384 ~DFFD15.tmp
08.02.2007 21:04 16.384 ~DFFD24.tmp
28.01.2007 08:41 16.384 ~DFFD2E.tmp
28.01.2007 08:41 16.384 ~DFFD47.tmp
17.02.2007 13:20 16.384 ~DFFD8C.tmp
04.02.2007 18:01 16.384 ~DFFDA.tmp
10.02.2007 20:53 16.384 ~DFFF67.tmp
07.02.2007 17:09 16.384 ~DFFF9C.tmp
10.02.2007 20:53 512 ~DFFFAE.tmp
04.02.2007 01:30 118.784 ~DP21.exe
298 Datei(en) 742.304.076 Bytes
6 Verzeichnis(se), 6.058.950.656 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\WINDOWS\Temp

18.02.2007 21:59 <DIR> .
18.02.2007 21:59 <DIR> ..
27.03.2005 13:57 <DIR> ClonyXXL
17.11.1994 17:31 34.320 EREGLIB.DLL
10.10.2000 12:48 65.536 IEHost.exe
23.09.1994 15:50 350 MIDIBASE.MID
23.09.1994 15:49 568 MIDIEX.MID
12.09.2001 14:42 212.992 NavBrowser.exe
24.03.2005 21:05 1.840 navLoad.ini
08.07.2004 09:07 <DIR> pft1E~tmp
22.03.2002 08:16 69.632 Setup.exe
21.03.2002 09:18 110 setup.inf
16.10.1995 14:02 135.680 SETUP32.EXE
16.10.1995 13:57 80.528 SETUPL.DLL
22.03.2005 10:27 <DIR> _ISTMP1.DIR
22.03.2005 10:38 <DIR> _ISTMP2.DIR
03.01.2006 16:49 <DIR> _ISTMP3.DIR
03.01.2006 17:33 <DIR> _ISTMP4.DIR
08.11.1995 17:43 453.280 _SETUP.EXE
26.10.1995 11:26 235.608 _SETUP.HLP
12 Datei(en) 1.290.444 Bytes
8 Verzeichnis(se), 6.058.946.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Temp

02.02.2007 13:50 <DIR> .
02.02.2007 13:50 <DIR> ..
15.02.2007 02:15 11.599 debug.txt
1 Datei(en) 11.599 Bytes
2 Verzeichnis(se), 6.058.946.560 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Programme

18.02.2007 12:28 <DIR> .
18.02.2007 12:28 <DIR> ..
11.02.2006 19:32 <DIR> Adobe
21.11.2004 21:07 <DIR> Ahead
13.02.2007 21:58 <DIR> AntiVir PersonalEdition Classic
29.05.2006 13:20 <DIR> ArcSoft
11.02.2006 20:45 <DIR> BreakIt
18.02.2007 16:18 <DIR> CleanUp!
11.05.2004 20:01 <DIR> Common Files
10.05.2004 13:02 <DIR> ComPlus Applications
10.05.2004 20:30 <DIR> Copystar
13.05.2004 09:07 <DIR> CyberLink
29.05.2006 13:22 <DIR> DaViDeo 4
29.05.2006 13:22 <DIR> DaViDeo3
10.05.2004 20:41 <DIR> directx
20.12.2004 01:05 <DIR> DivX
18.05.2004 13:13 <DIR> DivXCodec
18.02.2007 15:45 <DIR> eMule
06.02.2007 22:10 <DIR> Enigma Software Group
07.02.2007 21:39 <DIR> epson
11.02.2007 09:16 <DIR> Gemeinsame Dateien
04.02.2007 17:15 <DIR> ICQLite
28.01.2007 21:22 <DIR> ICQToolbar
24.08.2004 11:37 <DIR> Internet Explorer
11.02.2006 23:49 <DIR> iPod
11.02.2006 23:52 <DIR> iTunes
10.02.2007 21:12 <DIR> Java
06.02.2007 20:16 <DIR> Lavasoft
18.05.2004 13:11 <DIR> Ligos
24.08.2004 11:38 <DIR> Messenger
10.05.2004 20:41 <DIR> MGI
10.05.2004 13:10 <DIR> microsoft frontpage
16.12.2006 13:05 <DIR> Microsoft Games
13.05.2004 09:16 <DIR> Microsoft Office
13.05.2004 09:16 <DIR> Microsoft Visual Studio
24.08.2004 11:37 <DIR> Movie Maker
29.05.2006 13:20 <DIR> MovieJack DVD XL
18.02.2007 21:39 <DIR> Mozilla Firefox
10.05.2004 13:02 <DIR> MSN
10.05.2004 13:01 <DIR> MSN Gaming Zone
11.02.2006 14:41 <DIR> MSN Messenger
02.02.2007 14:05 <DIR> Nero
24.08.2004 11:31 <DIR> NetMeeting
13.05.2004 10:30 <DIR> OfficeUpdate11
10.05.2004 13:06 <DIR> Online-Dienste
24.08.2004 11:31 <DIR> Outlook Express
11.02.2007 15:03 <DIR> PokerStars.NET
12.02.2006 00:04 <DIR> QuickTime
28.10.2005 18:26 <DIR> Registry Optimierer
20.12.2004 01:09 <DIR> Sceneo
17.03.2005 13:14 <DIR> SlySoft
26.01.2007 19:15 <DIR> Smart Panel
11.07.2004 17:52 <DIR> Solver
18.05.2004 13:14 <DIR> The Playa
10.11.2006 16:40 <DIR> Trend
19.05.2004 18:43 <DIR> TuneUp Utilities
26.01.2007 23:47 <DIR> VideoLAN
06.06.2004 12:28 <DIR> Windows Journal Viewer
07.10.2006 15:49 <DIR> Windows Media Player
24.08.2004 11:31 <DIR> Windows NT
25.05.2006 22:30 <DIR> WinRAR
10.05.2004 19:04 <DIR> WinZip
20.03.2005 19:18 <DIR> WON
10.05.2004 13:10 <DIR> xerox
29.05.2006 13:21 <DIR> XP Konfig
29.05.2006 13:21 <DIR> xp-AntiSpy
02.09.2004 07:23 <DIR> Yahoo!
14.02.2006 10:49 <DIR> Zuma
0 Datei(en) 0 Bytes
68 Verzeichnis(se), 6.058.942.464 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Anwendungsdaten

13.03.2006 06:36 <DIR> Adobe
03.02.2007 00:05 <DIR> Ahead
12.02.2006 00:48 <DIR> Apple Computer
17.02.2007 16:31 86.528 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
02.02.2007 14:24 57.288 GDIPFONTCACHEV1.DAT
19.11.2005 13:44 <DIR> Help
29.12.2006 09:53 <DIR> Identities
11.01.2007 20:18 <DIR> Microsoft
14.06.2006 19:14 <DIR> Mozilla
30.01.2006 18:51 <DIR> WMTools Downloaded Files
2 Datei(en) 143.816 Bytes
8 Verzeichnis(se), 6.058.942.464 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Dokumente und Einstellungen\Thomas_2\Anwendungsdaten

06.11.2005 21:58 <DIR> Adobe
11.02.2006 19:47 <DIR> AdobeUM
03.02.2007 16:12 <DIR> Ahead
07.03.2006 18:18 <DIR> Apple Computer
13.02.2006 19:42 <DIR> DVD Shrink
17.12.2006 20:18 58.072 GDIPFONTCACHEV1.DAT
19.11.2005 13:44 <DIR> Help
27.01.2007 12:36 <DIR> ICQ Toolbar
27.01.2007 11:57 <DIR> ICQLite
30.10.2005 10:56 <DIR> Identities
06.02.2007 20:16 <DIR> Lavasoft
05.11.2005 16:46 <DIR> Macromedia
14.06.2006 19:14 <DIR> Mozilla
11.02.2006 15:28 <DIR> Sun
07.11.2005 17:58 <DIR> TuneUp Software
26.01.2007 23:51 <DIR> vlc
1 Datei(en) 58.072 Bytes
15 Verzeichnis(se), 6.058.942.464 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

12.09.2004 20:38 <DIR> ACD Systems
06.02.2007 21:59 305 addr_file.html
11.02.2006 19:46 <DIR> Adobe
21.11.2004 20:59 <DIR> Ahead
07.02.2007 21:55 <DIR> AntiVir PersonalEdition Classic
11.02.2006 23:49 <DIR> Apple Computer
13.05.2004 09:07 <DIR> CyberLink
05.03.2005 12:09 <DIR> MSN6
02.02.2007 14:05 <DIR> Nero
17.07.2004 21:44 <DIR> T-Online
02.08.2004 13:46 <DIR> T-Online_ZusatzSoftware
26.03.2005 11:58 <DIR> TuneUp Software
12.02.2006 20:45 <DIR> UDL
1 Datei(en) 305 Bytes
12 Verzeichnis(se), 6.058.942.464 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Programme\Gemeinsame Dateien

11.02.2007 09:16 <DIR> .
11.02.2007 09:16 <DIR> ..
12.05.2004 17:20 <DIR> Adobe
02.02.2007 14:09 <DIR> Ahead
08.07.2004 16:12 <DIR> Borland Shared
20.12.2004 01:10 <DIR> Buhl Data Service
11.01.2005 23:27 <DIR> Designer
10.05.2004 13:05 <DIR> Dienste
06.01.2005 20:20 <DIR> InstallShield
26.05.2004 23:00 <DIR> Java
13.05.2004 09:58 <DIR> Microsoft Shared
10.05.2004 13:04 <DIR> MSSoap
10.05.2004 13:52 <DIR> ODBC
10.05.2004 13:52 <DIR> SpeechEngines
31.03.2005 10:20 <DIR> SpeedProject
21.12.2006 16:37 <DIR> SWF Studio
24.08.2004 11:31 <DIR> System
11.01.2005 23:27 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 6.058.938.368 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5419-DAA6

Verzeichnis von C:\Windows\tasks
Seitenanfang Seitenende
18.02.2007, 23:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 TomTom41

Information: spymarshal
http://virus-protect.org/artikel/spyware/spymarshal_remove.html

-----------------------------------------------------

««
http://virus-protect.org/artikel/tools/agentransack.html
kopiere in Suche:
SpyMarshal
und poste laut Anleitung alles, was gefunden wird

««
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyMarshal

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

----------------------------------------------------------------------
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Folders to delete:
C:\Program Files\SpyMarshal
C:\WINDOWS\Temp\pft1E~tmp

Files to delete:
C:\WINDOWS\System32\IEHost.exe
C:\WINDOWS\Temp\SETUP32.EXE
C:\WINDOWS\Temp\EREGLIB.DLL
C:\WINDOWS\Temp\IEHost.exe
C:\WINDOWS\Temp\NavBrowser.exe
C:\WINDOWS\Temp\navLoad.ini
C:\WINDOWS\Temp\Setup.exe
C:\WINDOWS\Temp\setup.inf
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp\~DP22.dll
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp\set2C.tmp
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp\Set37.tmp
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp\Setup.exe
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp\TFR3D.tmp
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp\~DP21.exe
C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp\Window.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

-------------------------------------------------------------------

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
Verzeichnis von C:\Dokumente und Einstellungen\Thomas_2\Lokale Einstellungen\Temp
muss leer sein !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 23:49
Member

Themenstarter

Beiträge: 123
#13 C:\Program Files\SpyMarshal (06.02.2007 19:03:28)
C:\Program Files\SpyMarshal\SpyMarshal.lic (1 KB, 06.02.2007 00:37:51)
Seitenanfang Seitenende
18.02.2007, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

SpyMarshal

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.02.2007, 23:59
Member

Themenstarter

Beiträge: 123
#15 Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 18.02.2007 23:51:37 for strings:
; 'spymarshal'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName]
"1"="SpyMarshal"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\SpyMarshal]

; End Of The Log...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: