Banwarum F17 gefunden von Antivir

#0
24.02.2007, 18:49
...neu hier

Beiträge: 9
#1 Hallo, ich kenne mich nicht wirklich mit so etwas aus. Antivir zeigt mir immer an, dass ich den banwarum F 17 auf dem Rechner habe.
Ich hoffe, dass mir jemand helfen ... und es mir einfach erklären kann...
:-)
Danke im voraus.

Hijack sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 18:28:05, on 24.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\soundman.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\system32\lnwin.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\wincmd\WINCMD32.EXE
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] f:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [lnwin.exe] C:\WINDOWS\system32\lnwin.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [NoAdware4] "C:\Programme\NoAdware4\NoAdware4.exe" :Scan:
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Seitenanfang Seitenende
24.02.2007, 20:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 wollek75

««
poste das log ComboScan.txt + Supplementary.txt
http://virus-protect.org/artikel/tools/comboscan.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2007, 21:23
...neu hier

Themenstarter

Beiträge: 9
#3 Danke.
So, ich hoffe, dass ich es richtig gemacht habe. Wie soll es weiter gehen?
Gruß
Thorsten

Deine Anweisung 1:

ComboScan v20070221.16 run by onkelz on 2007-02-24 at 20:37:06
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Successfully created restore point.
Performed disk cleanup.


-- HijackThis (run as onkelz.exe) -----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:37:52, on 24.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\soundman.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\SPYWAREfighter\spftray.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\onkelz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q3AB0D2F\comboscan[1].exe
C:\Programme\HijackThis\onkelz.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] f:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [NoAdware4] "C:\Programme\NoAdware4\NoAdware4.exe" :Scan:
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


-- File Associations ------------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

2R ACEDRV05 - C:\WINDOWS\system32\drivers\ACEDRV05.sys
1R AFS2K - C:\WINDOWS\system32\drivers\AFS2K.SYS
3R ALCXWDM (Service for Avance AC97 Audio (WDM)) - C:\WINDOWS\system32\drivers\ALCXWDM.SYS
1R AmdK7 (AMD K7-Prozessortreiber) - C:\WINDOWS\system32\drivers\amdk7.sys
3S CCDECODE (Untertiteldecoder) - C:\WINDOWS\system32\drivers\CCDECODE.sys
3S CoachUsb (Coach Digital Camera on USB) - C:\WINDOWS\system32\drivers\CoachUsb.sys
3S CoachVc (Coach Video Capture) - C:\WINDOWS\system32\drivers\CoachVc.sys
3R DT154_A02 (Sinus 154 data II Driver) - C:\WINDOWS\system32\drivers\TS154USB.sys
3R ElbyCDFL - C:\WINDOWS\system32\drivers\ElbyCDFL.sys
2R ElbyCDIO (ElbyCDIO Driver) - C:\WINDOWS\system32\drivers\ElbyCDIO.sys
3R ElbyDelay - C:\WINDOWS\system32\drivers\ElbyDelay.sys
0R ElbyVCD - C:\WINDOWS\system32\drivers\ElbyVCD.sys
1S EXAMPLE - C:\WINDOWS\system32\main.sys (not found)
3S HPZid412 (IEEE-1284.4 Driver HPZid412) - C:\WINDOWS\system32\drivers\hpzid412.sys
3S HPZipr12 (Print Class Driver for IEEE-1284.4 HPZipr12) - C:\WINDOWS\system32\drivers\HPZipr12.sys
3S HPZius12 (USB to IEEE-1284.4 Translation Driver HPZius12) - C:\WINDOWS\system32\drivers\HPZius12.sys
4S InCDFs (InCD File System) - C:\WINDOWS\system32\drivers\InCDFs.sys (not found)
1S InCDPass - C:\WINDOWS\system32\drivers\InCDPass.sys (not found)
1S InCDRm (InCD Reader) - C:\WINDOWS\system32\drivers\InCDRm.sys (not found)
3S k750bus (Sony Ericsson 750 driver (WDM)) - C:\WINDOWS\system32\drivers\k750bus.sys
3S k750mdfl (Sony Ericsson 750 USB WMC Modem Filter) - C:\WINDOWS\system32\drivers\k750mdfl.sys
3S k750mdm (Sony Ericsson 750 USB WMC Modem Drivers) - C:\WINDOWS\system32\drivers\k750mdm.sys
3S k750mgmt (Sony Ericsson 750 USB WMC Device Management Drivers) - C:\WINDOWS\system32\drivers\k750mgmt.sys
3S k750obex (Sony Ericsson 750 USB WMC OBEX Interface Drivers) - C:\WINDOWS\system32\drivers\k750obex.sys
0R kl1 - C:\WINDOWS\system32\drivers\kl1.sys
1R klif - C:\WINDOWS\system32\drivers\klif.sys
3R MACNDIS5 (MACNDIS5 NDIS Protocol Driver) - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys
3S mamotou - C:\WINDOWS\system32\drivers\mamotou.sys
3S MaRdPnp - C:\WINDOWS\system32\drivers\mardp2k.sys
2R MaVctrl - C:\WINDOWS\system32\drivers\MaVc2K.sys
2R MDC8021X (AEGIS Protocol (IEEE 802.1x) v2.3.1.9) - C:\WINDOWS\system32\drivers\mdc8021x.sys
1R meiudf - C:\WINDOWS\system32\drivers\meiudf.sys
3S MSTEE (Microsoft Streaming Tee/Sink-to-Sink-Konvertierung) - C:\WINDOWS\system32\drivers\MSTEE.sys
3S NABTSFEC (NABTS/FEC VBI-Codec) - C:\WINDOWS\system32\drivers\NABTSFEC.sys
3S NdisIP (Microsoft TV-/Videoverbindung) - C:\WINDOWS\system32\drivers\NdisIP.sys
3R nv - C:\WINDOWS\system32\drivers\nv4_mini.sys
3R pcouffin (VSO Software pcouffin) - C:\WINDOWS\system32\drivers\pcouffin.sys
3S Runtime - C:\WINDOWS\System32\runtime.sys (not found)
3S SLIP (BDA Slip De-Framer) - C:\WINDOWS\system32\drivers\SLIP.sys
3R SpyFighter (SpyFighter Guard Device) - C:\Programme\SPYWAREfighter\spyfighter.sys
3S streamip (BDA-IPSink) - C:\WINDOWS\system32\drivers\StreamIP.sys
3S usbccgp (Microsoft Standard-USB-Haupttreiber) - C:\WINDOWS\system32\drivers\usbccgp.sys
3S usbprint (Microsoft USB-Druckerklasse) - C:\WINDOWS\system32\drivers\usbprint.sys
3S usbscan (USB-Scannertreiber) - C:\WINDOWS\system32\drivers\usbscan.sys
3S usbser (MOTOROLA Modem Driver) - C:\WINDOWS\system32\drivers\usbser.sys
3S USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\USBSTOR.SYS
0R viaagp (VIA AGP-Bus-Filter) - C:\WINDOWS\system32\drivers\VIAAGP1.SYS
0R viaagp1 (VIA AGP Filter) - C:\WINDOWS\system32\drivers\VIAAGP1.SYS
1R VIAPFD - C:\WINDOWS\system32\drivers\VIAPFD.SYS
3S wceusbsh (Windows CE USB Serial Host Driver) - C:\WINDOWS\system32\drivers\wceusbsh.sys
2S wincom32 - C:\WINDOWS\system32\wincom32.sys (not found)
3S WpdUsb - C:\WINDOWS\system32\drivers\wpdusb.sys
3S WSTCODEC (World Standard Teletext-Codec) - C:\WINDOWS\system32\drivers\WSTCODEC.SYS
3S WudfPf (Windows Driver Foundation - User-mode Driver Framework Platform Driver) - C:\WINDOWS\system32\drivers\WudfPf.sys
3S WudfRd (Windows Driver Foundation - User-mode Driver Framework Reflector) - C:\WINDOWS\system32\drivers\WudfRd.sys


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

4S Alerter (Warndienst) - C:\WINDOWS\System32\svchost.exe -k LocalService
3R ALG (Gatewaydienst auf Anwendungsebene) - C:\WINDOWS\System32\alg.exe
3S AppMgmt (Anwendungsverwaltung) - C:\WINDOWS\system32\svchost.exe -k netsvcs
2R AudioSrv (Windows Audio) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2S AVP (Kaspersky Anti-Virus 6.0) - "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r
3S BITS (Intelligenter Hintergrundübertragungsdienst) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2S Browser (Computerbrowser) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R CCALib8 (Canon Camera Access Library 8) - C:\Programme\Canon\CAL\CALMAIN.exe
3S cisvc (Indexdienst) - C:\WINDOWS\System32\cisvc.exe
4S ClipSrv (Ablagemappe) - C:\WINDOWS\system32\clipsrv.exe
3S COMSysApp (COM+-Systemanwendung) - C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
2R CryptSvc (Kryptografiedienste) - C:\WINDOWS\system32\svchost.exe -k netsvcs
2R DcomLaunch (DCOM-Server-Prozessstart) - C:\WINDOWS\system32\svchost -k DcomLaunch
2R Dhcp (DHCP-Client) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S dmadmin (Verwaltungsdienst für die Verwaltung logischer Datenträger) - C:\WINDOWS\System32\dmadmin.exe /com
2R dmserver (Verwaltung logischer Datenträger) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R Dnscache (DNS-Client) - C:\WINDOWS\System32\svchost.exe -k NetworkService
2R DVD-RAM_Service - C:\WINDOWS\system32\DVDRAMSV.exe
4S ERSvc (Fehlerberichterstattungsdienst) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R Eventlog (Ereignisprotokoll) - C:\WINDOWS\system32\services.exe
3R EventSystem (COM+-Ereignissystem) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3R FastUserSwitchingCompatibility (Kompatibilität für schnelle Benutzerumschaltung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R helpsvc (Hilfe und Support) - C:\WINDOWS\System32\svchost.exe -k netsvcs
4S HidServ (Eingabegerätezugang) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S HTTPFilter (HTTP-SSL) - C:\WINDOWS\System32\svchost.exe -k HTTPFilter
3S ImapiService (IMAPI-CD-Brenn-COM-Dienste) - C:\WINDOWS\System32\imapi.exe
2R lanmanserver (Server) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R lanmanworkstation (Arbeitsstationsdienst) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R LmHosts (TCP/IP-NetBIOS-Hilfsprogramm) - C:\WINDOWS\System32\svchost.exe -k LocalService
4S Messenger (Nachrichtendienst) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S mnmsrvc (NetMeeting-Remotedesktop-Freigabe) - C:\WINDOWS\System32\mnmsrvc.exe
3S MSDTC (Distributed Transaction Coordinator) - C:\WINDOWS\System32\msdtc.exe
3S MSIServer (Windows Installer) - C:\WINDOWS\system32\msiexec.exe /V
4S NetDDE (Netzwerk-DDE-Dienst) - C:\WINDOWS\system32\netdde.exe
4S NetDDEdsdm (Netzwerk-DDE-Serverdienst) - C:\WINDOWS\system32\netdde.exe
3S Netlogon (Anmeldedienst) - C:\WINDOWS\System32\lsass.exe
3R Netman (Netzwerkverbindungen) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3R Nla (NLA (Network Location Awareness)) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S NtLmSsp (NT-LM-Sicherheitsdienst) - C:\WINDOWS\System32\lsass.exe
3S NtmsSvc (Wechselmedien) - C:\WINDOWS\system32\svchost.exe -k netsvcs
2R NVSvc (NVIDIA Display Driver Service) - C:\WINDOWS\system32\nvsvc32.exe
2R PlugPlay (Plug & Play) - C:\WINDOWS\system32\services.exe
3S Pml Driver HPZ12 - C:\WINDOWS\system32\HPZipm12.exe
2R PolicyAgent (IPSEC-Dienste) - C:\WINDOWS\System32\lsass.exe
2R ProtectedStorage (Geschützter Speicher) - C:\WINDOWS\system32\lsass.exe
3S RasAuto (Verwaltung für automatische RAS-Verbindung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3R RasMan (RAS-Verbindungsverwaltung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S RDSessMgr (Sitzungs-Manager für Remotedesktophilfe) - C:\WINDOWS\system32\sessmgr.exe
4S RemoteAccess (Routing und RAS) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R RemoteRegistry (Remote-Registrierung) - C:\WINDOWS\system32\svchost.exe -k LocalService
3S RpcLocator (RPC-Locator) - C:\WINDOWS\System32\locator.exe
2R RpcSs (Remoteprozeduraufruf (RPC)) - C:\WINDOWS\system32\svchost -k rpcss
3S RSVP (QoS-RSVP) - C:\WINDOWS\System32\rsvp.exe
2R SamSs (Sicherheitskontenverwaltung) - C:\WINDOWS\system32\lsass.exe
3S SCardSvr (Smartcard) - C:\WINDOWS\System32\SCardSvr.exe
2R Schedule (Taskplaner) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R seclogon (Sekundäre Anmeldung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R SENS (Systemereignisbenachrichtigung) - C:\WINDOWS\system32\svchost.exe -k netsvcs
2R SharedAccess (Windows-Firewall/Gemeinsame Nutzung der Internetverbindung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R ShellHWDetection (Shellhardwareerkennung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R Spooler (Druckwarteschlange) - C:\WINDOWS\system32\spoolsv.exe
3R SPYWAREfighterRP - "C:\Programme\SPYWAREfighter\spfprc.exe"
2R srservice (Systemwiederherstellungsdienst) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3R SSDPSRV (SSDP-Suchdienst) - C:\WINDOWS\System32\svchost.exe -k LocalService
2R stisvc (Windows-Bilderfassung (WIA)) - C:\WINDOWS\System32\svchost.exe -k imgsvc
3S SwPrv (MS Software Shadow Copy Provider) - C:\WINDOWS\System32\dllhost.exe /Processid:{504A8005-7F7A-4CB1-B144-E9BE3BF177F4}
3S SysmonLog (Leistungsdatenprotokolle und Warnungen) - C:\WINDOWS\system32\smlogsvc.exe
3R TapiSrv (Telefonie) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3R TermService (Terminaldienste) - C:\WINDOWS\System32\svchost -k DComLaunch
2R Themes (Designs) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S TlntSvr (Telnet) - C:\WINDOWS\System32\tlntsvr.exe
2R TrkWks (Überwachung verteilter Verknüpfungen (Client)) - C:\WINDOWS\system32\svchost.exe -k netsvcs
2R UleadBurningHelper (Ulead Burning Helper) - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
3S upnphost (Universeller Plug & Play-Gerätehost) - C:\WINDOWS\System32\svchost.exe -k LocalService
3S UPS (Unterbrechungsfreie Stromversorgung) - C:\WINDOWS\System32\ups.exe
2R UxTuneUp (TuneUp Designerweiterung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S VSS (Volumeschattenkopie) - C:\WINDOWS\System32\vssvc.exe
4S W32Time (Windows-Zeitgeber) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R WebClient - C:\WINDOWS\System32\svchost.exe -k LocalService
2R winmgmt (Windows-Verwaltungsinstrumentation) - C:\WINDOWS\system32\svchost.exe -k netsvcs
3S WmdmPmSN (Dienst für Seriennummern der tragbaren Medien) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S Wmi (Treibererweiterungen für Windows-Verwaltungsinstrumentation) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S WmiApSrv (WMI-Leistungsadapter) - C:\WINDOWS\System32\wbem\wmiapsrv.exe
3S WMPNetworkSvc (Windows Media Player-Netzwerkfreigabedienst) - "C:\Programme\Windows Media Player\WMPNetwk.exe"
2R wscsvc (Sicherheitscenter) - C:\WINDOWS\System32\svchost.exe -k netsvcs
2R wuauserv (Automatische Updates) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S WudfSvc (Windows Driver Foundation - User-mode Driver Framework) - C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
3S WZCSVC (Konfigurationsfreie drahtlose Verbindung) - C:\WINDOWS\System32\svchost.exe -k netsvcs
3S xmlprov (Netzwerkversorgungsdienst) - C:\WINDOWS\System32\svchost.exe -k netsvcs


-- Scheduled Tasks --------------------------------------------------------------

2007-02-23 17:17:10 398 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job<1-KLIC~1.JOB>
2006-01-02 14:03:47 336 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1128167784.job<FRUTAS~1.JOB>


-- Files created between 2007-01-24 and 2007-02-24 ------------------------------

2007-02-24 20:37:45 0 d-------- C:\Programme\HijackThis<HIJACK~1>
2007-02-24 19:36:31 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-02-24 19:36:31 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-02-24 19:36:15 0 d-------- C:\Programme\Kaspersky Lab<KASPER~1>
2007-02-24 19:36:13 3872 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-02-24 19:36:13 903200 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-02-24 13:29:55 0 d-------- C:\Programme\Gemeinsame Dateien\Application<APPLIC~1>
2007-02-24 13:29:17 0 d-------- C:\Programme\SPYWAREfighter<SPYWAR~1>
2007-02-24 12:17:44 46592 --a------ C:\WINDOWS\system32\zlbw.dll
2007-02-24 12:16:45 7592 --a------ C:\WINDOWS\system32\vxg4am1et2.exe<VXG4AM~1.EXE>
2007-02-24 12:16:24 19368 --a------ C:\WINDOWS\xpupdate.exe
2007-02-24 12:16:24 8616 --a------ C:\WINDOWS\system32\dlh9jkd1q7.exe<DLH9JK~4.EXE>
2007-02-24 12:16:23 8104 --a------ C:\WINDOWS\system32\dlh9jkd1q6.exe<DLH9JK~3.EXE>
2007-02-24 12:16:14 19368 --a------ C:\WINDOWS\system32\dlh9jkd1q2.exe<DLH9JK~2.EXE>
2007-02-24 12:15:27 17 --a------ C:\WINDOWS\system32\dlh9jkd1q8.exe<DLH9JK~1.EXE>
2007-02-07 16:19:09 49399 -ra------ C:\WINDOWS\system32\drivers\mamotou.sys
2007-02-07 16:04:27 24789 -ra------ C:\WINDOWS\system32\drivers\MaVctrl.sys
2007-02-07 16:04:27 11473 -ra------ C:\WINDOWS\system32\drivers\MaVc2K.sys
2007-02-07 16:04:27 49484 -ra------ C:\WINDOWS\system32\drivers\MARDPNP.SYS
2007-02-07 16:04:27 49867 -ra------ C:\WINDOWS\system32\drivers\mardp2k.sys
2007-02-06 16:00:40 221184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-02-06 16:00:34 0 d-------- C:\Programme\Windows Media Connect 2<WI4DF6~1>
2007-02-06 15:59:05 0 d-------- C:\WINDOWS\system32\LogFiles
2007-02-06 15:59:05 0 d-------- C:\WINDOWS\system32\drivers\UMDF
2007-02-05 18:42:23 24072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-02-03 14:38:28 5632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-02-03 14:38:27 159232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-02-03 14:25:27 0 d-------- C:\Programme\Canon
2007-02-03 14:24:50 0 d-------- C:\Programme\Gemeinsame Dateien\Canon
2007-01-29 23:09:14 23196 --a------ C:\WINDOWS\system32\drivers\klop.dat
2007-01-29 23:04:00 200768 --a------ C:\WINDOWS\system32\klogon.dll
2007-01-29 09:58:06 60416 -----n--- C:\WINDOWS\system32\tzchange.exe
2007-01-29 06:26:19 149413 --a------ C:\WINDOWS\Folienviewer2 Uninstaller.exe<FOLIEN~1.EXE>
2007-01-29 06:26:18 0 d-------- C:\Programme\Folienviewer2<FOLIEN~1>
2007-01-28 17:57:05 25600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2007-01-25 19:27:38 109848 --a------ C:\WINDOWS\system32\drivers\kl1.sys


-- Find3M Report ----------------------------------------------------------------

2007-02-24 20:06:42 316924 --a------ C:\WINDOWS\system32\perfh007.dat
2007-02-24 20:06:42 48354 --a------ C:\WINDOWS\system32\perfc007.dat
2007-02-24 17:00:43 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Azureus
2007-02-24 13:29:55 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-02-24 12:25:05 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard<WISEIN~1>
2007-02-23 18:13:47 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Vso
2007-02-16 18:40:14 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\MobileAction<MOBILE~1>
2007-02-11 15:09:32 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-01-29 06:26:32 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Cornelsen<CORNEL~1>
2007-01-15 13:17:11 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\AdobeUM
2007-01-03 17:16:24 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Sun
2007-01-03 17:15:58 0 d-------- C:\Programme\Java
2007-01-03 17:13:51 0 d-------- C:\Programme\Gemeinsame Dateien\Java
2006-12-28 14:13:39 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1>
2006-12-22 15:47:15 34 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.log
2006-12-22 15:47:10 47360 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.sys
2006-12-22 15:47:10 1144 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.inf
2006-12-22 15:47:10 7176 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.cat
2006-12-22 15:47:10 81920 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\ezpinst.exe
2006-12-19 22:49:41 135168 --a------ C:\WINDOWS\system32\shsvcs.dll
2006-12-19 19:17:03 334336 --a------ C:\WINDOWS\system32\wiaservc.dll
2006-12-10 20:26:00 40 ---hs---- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\.zreglib<ZREGLI~1>
2006-12-04 22:14:06 81920 --a------ C:\WINDOWS\system32\ElbyCDIO.dll
2006-11-27 15:54:15 433152 --a------ C:\WINDOWS\system32\riched20.dll
2006-11-27 15:54:15 539136 -----n--- C:\WINDOWS\system32\msftedit.dll


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"T-Online_Software_5\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"NoAdware4"="\"C:\\Programme\\NoAdware4\\NoAdware4.exe\" :Scan:"
"H/PC Connection Agent"="\"F:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="soundman.exe"
"PRISMSVR.EXE"="\"C:\\Programme\\T-Com\\Sinus 154 data II\\PRISMSVR.EXE\" /APPLY"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Ulead Photo Express 5 SE Calendar Checker"="f:\\Programme\\Ulead Systems\\Ulead Photo Express 5 SE\\calcheck.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spftray.exe"
@=""
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=dword:00000001
"Wallpaper"="C:\\WINDOWS\\desktop.html"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"SystemManager"="C:\\WINDOWS\\system32\\bootvid.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoActiveDesktop"=dword:00000000
"ForceActiveDesktopOn"=dword:00000001

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp



-- End of ComboScan: finished at 2007-02-24 at 20:38:32 -------------------------

ComboScan v20070221.16 run by onkelz on 2007-02-24 at 20:37:06
Supplementary logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information -----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) XP 2000+
Percentage of Memory in Use: 46%
Physical Memory (total/avail): 511.48 MiB / 272.27 MiB
Pagefile Memory (total/avail): 1250.06 MiB / 1063.26 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1992.97 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 9.77 GiB total, 3.63 GiB free.
D: is Fixed (NTFS) - 19.53 GiB total, 6.24 GiB free.
E: is Fixed (NTFS) - 19.53 GiB total, 17.37 GiB free.
F: is Fixed (NTFS) - 8.43 GiB total, 5.97 GiB free.
G: is CDROM (No Media)
H: is CDROM (No Media)


-- Security Center --------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH)
AV: Kaspersky Anti-Virus v6.0.2.614 () [COLOR=RED]Disabled[/COLOR]
AV: AntiVir PersonalEdition Classic Virenschutz v0.0.0.0 (AntiVir PersonalProducts GmbH)


-- Environment Variables --------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users.WINDOWS
APPDATA=C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\onkelz
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\Programme\Internet Explorer;;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\Gemeinsame Dateien\Ulead Systems\MPEG
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 6 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0602
ProgramFiles=C:\Programme
PROMPT=$P$G
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\onkelz\LOKALE~1\Temp
TMP=C:\DOKUME~1\onkelz\LOKALE~1\Temp
USERDOMAIN=ONKELZ-LAA913HD
USERNAME=onkelz
USERPROFILE=C:\Dokumente und Einstellungen\onkelz
windir=C:\WINDOWS


-- User Profiles ----------------------------------------------------------------

onkelz (admin)


-- Add/Remove Programs ----------------------------------------------------------

--> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
--> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> E:\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee 4.0.1 Standard --> MsiExec.exe /I{24561814-4815-4387-AC59-05DDEC5AF013}
Adobe Flash Player 9 ActiveX --> C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Reader 7.0.9 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70900000002}
Avance AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Azureus --> f:\Programme\Azureus\Uninstall.exe
Canon Camera Access Library --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "C:\Programme\Canon\CAL\Uninst.ini"
Canon Camera Support Core Library --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "C:\Programme\Canon\CSCLIB\Uninst.ini"
Canon Camera Window DC_DV 5 for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\CameraWindow\CameraWindowDVC\Uninst.ini"
Canon Camera Window DC_DV 6 for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\CameraWindow\CameraWindowDVC6\Uninst.ini"
Canon Camera Window MC 6 for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\CameraWindow\CameraWindowMC\Uninst.ini"
Canon G.726 WMP-Decoder --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\G726Decoder\G726DecUnInstall.ini"
CANON iMAGE GATEWAY Task --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\ZoomBrowser EX\Program\CRWUnInstall.ini"
Canon Internet Library for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\ZoomBrowser EX\Program\CIGUnInstall.ini"
Canon MovieEdit Task for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\ZoomBrowser EX\Program\MVWUninst.ini"
Canon RAW Image Task for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\RAW Image Task\Uninst.ini"
Canon RemoteCapture Task for ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\CameraWindow\RemoteCaptureTask DC\Uninst.ini"
Canon Utilities EOS Utility --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\EOS Utility\Uninst.ini"
Canon Utilities PhotoStitch --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\PhotoStitch\Uninst.ini"
Canon Utilities ZoomBrowser EX --> "C:\Programme\Gemeinsame Dateien\Canon\UIW\1.0.0.0\Uninst.exe" "f:\Programme\Canon\ZoomBrowser EX\Program\Uninst.ini"
CloneCD --> "C:\Programme\Elaborate Bytes\CloneCD\ccd-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneCD"
CloneDVD --> "C:\Programme\Elaborate Bytes\CloneDVD\CloneDVD-uninst.exe" /D="C:\Programme\Elaborate Bytes\CloneDVD"
Digital Video --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4A71E27C-07D2-4CB8-ACA9-165242416758}\Setup.exe" -l0x7
DVD-RAM-Treiber --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}\SETUP.EXE" DVD-RAM Driver
DVDFab Platinum 3.0.4.0 --> "f:\Programme\DVDFab Platinum 3\unins000.exe"
ffvfw (uninstall only) --> "f:\Programme\ffvfw\uninstall.exe"
Folienviewer2 --> C:\WINDOWS\Folienviewer2 Uninstaller.exe
Free YouTube to iPod Converter version 2.3 --> "f:\Programme\Free YouTube to iPod Converter\unins000.exe"
HijackThis 1.99.1 --> F:\HijackThis.exe /uninstall
HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}
HP Foto und Bildbearbeitung 2.0 - hp psc 2100 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot
hp psc 2100 series --> MsiExec.exe /X{82DFB852-9594-4668-9C66-28BB6E94BCB2}
HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
InterVideo WinDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C1939820-A945-11D4-86F6-0001031E5712}\setup.exe" REMOVEALL
IsoBuster 1.3 --> "C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe"
J2SE Runtime Environment 5.0 Update 10 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150100}
Kaspersky Anti-Virus 6.0 --> MsiExec.exe /I{75193929-9A52-4CA4-98DE-8C7296940920}
Kaspersky Anti-Virus 6.0 --> MsiExec.exe /I{75193929-9A52-4CA4-98DE-8C7296940920}
Microsoft ActiveSync 3.7 --> "C:\WINDOWS\ISUN0407.EXE" -f"f:\Programme\Microsoft ActiveSync\DeIsL1.isu" -c"f:\Programme\Microsoft ActiveSync\ceuninst.dll"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Publisher 2002 --> MsiExec.exe /I{90190407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Motorola V220 USB - Handset Manager V9.2 --> MsiExec.exe /I{A918DE8A-98C8-0920-0000-000000080001}
Mozilla Firefox (1.0.7) --> C:\WINDOWS\UninstallFirefox.exe /ua "1.0.7 (de-DE)"
MP3PowerEncoder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{969B3B70-8765-11D5-9809-0050BACBF861}\Setup.exe" -uninstall
Nero 7 Premium --> MsiExec.exe /I{9DAA3F6E-0B56-A762-02CF-F9D80D8F1031}
NoAdware v4.0 --> "C:\Programme\NoAdware4\unins000.exe"
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
OnlineControl 1.1 --> C:\Programme\OnlineControl\unins000.exe
Politik transparent --> MsiExec.exe
Sinus 154 data II --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{C53FB914-C1F6-4F9D-93E2-A3A84935EC15}
Sony Ericsson PC Suite --> MsiExec.exe /I{C037D08B-4883-491D-9329-DC5ACA90F797}
SPYWAREfighter --> MsiExec.exe /X{25790242-D175-4E5E-9DB9-631C10124E78}
T-Online WLAN-Access Finder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{295C31E5-3F91-498E-9623-DA24D2FA2B6A}\Setup.exe" -L0x7
TextMaker Viewer --> C:\WINDOWS\untmv.exe
Ulead Photo Express 5 SE --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{31383A1D-FAE6-435A-9DBD-FDB61C7C8EC9}\Setup.exe" -l0x7
Ulead VideoStudio 8.0 SE DVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4F1DA6BF-3614-48A1-9970-9E90F646789E}\Setup.exe" -l0x7

WinRAR --> C:\Programme\WinRAR\uninstall.exe
XVID Codec Installation --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{534C6D59-D6E3-48A6-AD0B-747799019960}\Setup.exe" -l0x7


-- End of ComboScan: finished at 2007-02-24 at 20:38:32 -------------------------


Deine Anweisung 3:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14AF-20FB

Verzeichnis von C:\WINDOWS\system32

24.02.2007 21:00 311.740 perfh009.dat
24.02.2007 21:00 40.128 perfc009.dat
24.02.2007 21:00 316.924 perfh007.dat
24.02.2007 21:00 48.354 perfc007.dat
24.02.2007 21:00 723.744 PerfStringBackup.INI
24.02.2007 20:55 43.573 nvapps.xml
24.02.2007 13:24 534 ikhcore.log
24.02.2007 12:17 46.592 zlbw.dll
24.02.2007 12:17 4 winsub.xml
24.02.2007 12:17 102 svcp.csv
24.02.2007 12:16 7.592 vxg4am1et2.exe
24.02.2007 12:16 1 vx.tll
24.02.2007 12:16 8.616 dlh9jkd1q7.exe
24.02.2007 12:16 8.104 dlh9jkd1q6.exe
24.02.2007 12:16 19.368 dlh9jkd1q2.exe
24.02.2007 12:15 17 dlh9jkd1q8.exe

17.02.2007 10:57 122.142 TZLog.log
07.02.2007 23:01 12.293.536 MRT.exe
06.02.2007 16:00 16.832 amcompat.tlb
06.02.2007 16:00 23.392 nscompat.tlb
31.01.2007 10:17 2.262 wpa.dbl
29.01.2007 23:04 200.768 klogon.dll
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 13:52 617.472 urlmon.dll
23.01.2007 20:30 546.304 hhctrl.ocx
04.01.2007 14:41 664.576 wininet.dll
04.01.2007 14:41 474.624 shlwapi.dll
04.01.2007 14:41 1.494.528 shdocvw.dll
04.01.2007 14:41 532.480 mstime.dll
04.01.2007 14:41 39.424 pngfilt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14AF-20FB

Verzeichnis von C:\WINDOWS

24.02.2007 21:10 564 wincmd.ini
24.02.2007 21:02 1.379.253 WindowsUpdate.log
24.02.2007 20:56 211 wiadebug.log
24.02.2007 20:56 0 0.log
24.02.2007 20:55 50 wiaservc.log
24.02.2007 20:55 2.048 bootstat.dat
24.02.2007 20:54 32.608 SchedLgU.Txt
24.02.2007 12:16 19.368 xpupdate.exe
24.02.2007 01:11 63.711 wmsetup.log
23.02.2007 19:10 116 NeroDigital.ini
18.02.2007 12:47 961.895 setupapi.log
16.02.2007 18:40 0 MessageExe.INI
16.02.2007 14:44 0 PanelExe.INI
16.02.2007 14:44 0 EngineExe.INI
16.02.2007 14:44 0 FileMgrExe.INI
11.02.2007 22:21 969 win.ini
11.02.2007 22:21 969 win.tmp
11.02.2007 19:29 253 tm.ini


Verzeichnis von C:\WINDOWS\Temp

24.02.2007 21:01 409 WGANotify.settings
24.02.2007 20:55 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 3.895.582.720 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14AF-20FB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.07.2006 12:52 367 LegitCheckControl.inf
25.06.2006 11:50 1.793 erma.inf
27.03.2006 12:00 5.019 swflash.inf
01.10.2005 11:11 65 desktop.ini
09.05.2005 07:54 539 EPUWALcontrol.inf
19.12.2003 15:43 241 popcaploader.inf
6 Datei(en) 8.024 Bytes
0 Verzeichnis(se), 3.895.578.624 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 14AF-20FB

Verzeichnis von C:\

24.02.2007 21:17 0 sys.txt
24.02.2007 21:17 559 down.txt
24.02.2007 21:17 334 temp.txt
24.02.2007 21:17 334 tmp.txt
24.02.2007 21:17 12.309 windows.txt
24.02.2007 21:16 12.309 system.txt
24.02.2007 21:16 638 systemtemp.txt
24.02.2007 21:16 109.331 system32.txt
24.02.2007 21:14 109.331 systemtemp.txt.txt
24.02.2007 20:59 488 hpfr5550.xml
24.02.2007 20:55 805.306.368 pagefile.sys
24.02.2007 12:18 224 as.txt
16.02.2007 14:35 834 Install.log
16.02.2007 14:35 1.767 DrvInst.log
16.02.2007 14:35 285 DrvInst (1).log
16.02.2007 14:35 232 DrvInst (2).log
07.02.2007 16:21 1.185 Install (1).log
07.02.2007 16:16 1.030 Install (2).log
12.11.2006 13:50 150 YServer.txt


Ich verstehe nur Bahnhof. Hoffe, es stimmt :-)
Danke
Seitenanfang Seitenende
24.02.2007, 22:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-

»»
wende smitfraudfix an (option 1 und 2 )
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

drivers to unload:
wincom32

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wincom32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wincom32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

Files to delete:
C:\WINDOWS\system32\winsub.xml
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\lnwin.exe
C:\WINDOWS\system32\wincom32.sys
C:\WINDOWS\system32\zlbw.dll
C:\WINDOWS\system32\vxg4am1et2.exe
C:\WINDOWS\xpupdate.exe
C:\WINDOWS\system32\dlh9jkd1q7.exe
C:\WINDOWS\system32\dlh9jkd1q6.exe
C:\WINDOWS\system32\dlh9jkd1q2.exe
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\desktop.html

Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten

»»
poste hier das log , was nach dem neustart vom avenger erscheint


«
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.02.2007, 23:45
...neu hier

Themenstarter

Beiträge: 9
#5 bis zum Avnenger klappt alles, aber wenn ich die grüne Ampel anklicke ist leider ende.
das ist die Fehlermeldung:
Avenger Pre-Processor log
//////////////////////////////////////////



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\xjmkciai

*******************

Script file located at: \??\C:\jpalvciw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver wincom32 unloaded successfully.
File C:\WINDOWS\system32\winsub.xml deleted successfully.
File C:\WINDOWS\system32\svcp.csv deleted successfully.
File C:\WINDOWS\system32\vx.tll deleted successfully.


File C:\WINDOWS\system32\taskdir.exe not found!
Deletion of file C:\WINDOWS\system32\taskdir.exe failed!

Could not process line:
C:\WINDOWS\system32\taskdir.exe
Status: 0xc0000034



File C:\WINDOWS\system32\lnwin.exe not found!
Deletion of file C:\WINDOWS\system32\lnwin.exe failed!

Could not process line:
C:\WINDOWS\system32\lnwin.exe
Status: 0xc0000034



File C:\WINDOWS\system32\wincom32.sys not found!
Deletion of file C:\WINDOWS\system32\wincom32.sys failed!

Could not process line:
C:\WINDOWS\system32\wincom32.sys
Status: 0xc0000034



File C:\WINDOWS\system32\zlbw.dll not found!
Deletion of file C:\WINDOWS\system32\zlbw.dll failed!

Could not process line:
C:\WINDOWS\system32\zlbw.dll
Status: 0xc0000034

File C:\WINDOWS\system32\vxg4am1et2.exe deleted successfully.


File C:\WINDOWS\xpupdate.exe not found!
Deletion of file C:\WINDOWS\xpupdate.exe failed!

Could not process line:
C:\WINDOWS\xpupdate.exe
Status: 0xc0000034

File C:\WINDOWS\system32\dlh9jkd1q7.exe deleted successfully.
File C:\WINDOWS\system32\dlh9jkd1q6.exe deleted successfully.
File C:\WINDOWS\system32\dlh9jkd1q2.exe deleted successfully.
File C:\WINDOWS\system32\dlh9jkd1q8.exe deleted successfully.


File C:\WINDOWS\desktop.html not found!
Deletion of file C:\WINDOWS\desktop.html failed!

Could not process line:
C:\WINDOWS\desktop.html
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


nach einem weiteren Neustart hat Kaspersky das entdeckt:
Email-Worm.Win32.Banwarum.f

ich hoffe mal, dass da noch was zu retten ist.
Gruß und gute NAcht
Thorsten
Dieser Beitrag wurde am 25.02.2007 um 00:31 Uhr von wollek75 editiert.
Seitenanfang Seitenende
25.02.2007, 12:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wollek75

1.
kopiere in den Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wincom32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wincom32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINCOM32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32
2.
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

----------------
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 15:00
...neu hier

Themenstarter

Beiträge: 9
#7 Auf ein Neues!

SDFix: Version 1.68

Run by onkelz - 25.02.2007 @ 13:43:10,64

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
EXAMPLE

Path:
\??\C:\WINDOWS\system32\main.sys

EXAMPLE Deleted

Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\as.txt - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*;)isabled:@xpsp2res.dll,-22019"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\RealVNC\\VNC4\\WinVNC.exe"="C:\\Programme\\RealVNC\\VNC4\\WinVNC.exe:*:Enabled:VNC server for Win32"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"F:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="F:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"F:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe"="F:\\Programme\\Microsoft ActiveSync\\WcesMgr.exe:*:Enabled:ActiveSync Application"
"F:\\Programme\\Azureus\\Azureus.exe"="F:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\WINDOWS\\system32\\sm.exe"="C:\\WINDOWS\\system32\\sm.exe:*:Enabled:enable"
"C:\\WINDOWS\\system32\\dd.exe"="C:\\WINDOWS\\system32\\dd.exe:*:Enabled:enable"
"C:\\WINDOWS\\system32\\lnwin.exe"="C:\\WINDOWS\\system32\\lnwin.exe:*:Enabled:enable"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM\Cache\Indiv01.tmp
C:\Dokumente und Einstellungen\onkelz\Eigene Dateien\~WRL0671.tmp

Add/Remove Programs List:

Azureus
Canon Camera Access Library
Canon Camera Window DC_DV 5 for ZoomBrowser EX
Canon Camera Window DC_DV 6 for ZoomBrowser EX
Canon Camera Window MC 6 for ZoomBrowser EX
Canon G.726 WMP-Decoder
CANON iMAGE GATEWAY Task
Canon Internet Library for ZoomBrowser EX
CleanUp!
CloneCD
CloneDVD
Canon Camera Support Core Library
DVDFab Platinum 3.0.4.0
Canon Utilities EOS Utility
ffvfw (uninstall only)
Folienviewer2
Free YouTube to iPod Converter version 2.3
HijackThis 1.99.1
HP Foto und Bildbearbeitung 2.0 - hp psc 2100 series
ICQ 5.1
Sinus 154 data II
Kaspersky Anti-Virus 6.0
IsoBuster 1.3
Canon MovieEdit Task for ZoomBrowser EX
Mozilla Firefox (1.0.7)
Microsoft Compression Client Pack 1.0 for Windows XP
NoAdware v4.0
NVIDIA Drivers
OnlineControl 1.1
Canon Utilities PhotoStitch
Canon RAW Image Task for ZoomBrowser EX
Canon RemoteCapture Task for ZoomBrowser EX
Adobe Flash Player 9 ActiveX
TextMaker Viewer
Windows Commander (Remove only)
Microsoft ActiveSync 3.7
Windows XP Service Pack 2
WinRAR
Microsoft User-Mode Driver Framework Feature Pack 1.0
Canon Utilities ZoomBrowser EX
ACDSee 4.0.1 Standard
T-Online WLAN-Access Finder
Ulead Photo Express 5 SE
J2SE Runtime Environment 5.0 Update 10
Digital Video
Ulead VideoStudio 8.0 SE DVD
XVID Codec Installation
HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
Kaspersky Anti-Virus 6.0
hp psc 2100 series
Microsoft Publisher 2002
Microsoft Office XP Professional mit FrontPage
MP3PowerEncoder
HP Foto- und Bildbearbeitung 2.0 - All-in-One
DVD-RAM-Treiber
Nero 7 Premium
Motorola V220 USB - Handset Manager V9.2
Adobe Reader 7.0.9 - Deutsch
HP Speicher-Disc
Politik transparent
Sony Ericsson PC Suite
InterVideo WinDVD
Sinus 154 data II
Avance AC'97 Audio

Finished



Sophos Anti-Virus
Version 4.15.0 [Win32/Intel]
Virus data version 4.15, March 2007
Includes detection for 223622 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 14:32:59, System date 25 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan


Password protected file C:\Dokumente und Einstellungen\Thorsten\Anwendungsdaten\Adobe\Acrobat\6.0\Messages\DEU\read0600win_DEUadbe0040a.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Password protected file D:\Schule\Referendariat\Fachseminar SOWI\Kolloquium\DuesseldorfHelmke%20PDF %2011.05.05.pdf

4 boot sectors swept.
31637 files swept in 22 minutes and 23 seconds.
6 errors were encountered.
No viruses were discovered.
6 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
25.02.2007, 15:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 gehe in die registry
Start - Ausfuehren - regedit

klicke dich durch zum Schluessel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List]

loeschen:
"C:\\WINDOWS\\system32\\sm.exe"
"C:\\WINDOWS\\system32\\dd.exe
"C:\\WINDOWS\\system32\\lnwin.exe"

PC neustarten

»»
poste den report - noch mal ;)
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 16:04
...neu hier

Themenstarter

Beiträge: 9
#9 Bitte schön :-)

ComboScan v20070221.16 run by onkelz on 2007-02-25 at 16:02:54
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as onkelz.exe) -----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 16:02:57, on 25.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\soundman.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\OnlineControl\ocontrol.exe
C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\onkelz\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q3AB0D2F\comboscan[1].exe
C:\Programme\HijackThis\onkelz.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] f:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [NoAdware4] "C:\Programme\NoAdware4\NoAdware4.exe" :Scan:
O4 - HKCU\..\Run: [H/PC Connection Agent] "F:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O4 - Global Startup: T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - f:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe


-- Files created between 2007-01-25 and 2007-02-25 ------------------------------

2007-02-25 13:57:03 0 d-------- C:\SAV32CLI
2007-02-25 13:37:07 0 d-------- C:\SDFix
2007-02-25 13:33:33 0 d-------- C:\avenger
2007-02-24 23:00:39 3174 --a------ C:\WINDOWS\system32\tmp.reg
2007-02-24 22:54:42 111 --a------ C:\fixme.reg
2007-02-24 20:37:45 0 d-------- C:\Programme\HijackThis<HIJACK~1>
2007-02-24 19:36:31 74396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-02-24 19:36:31 75932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-02-24 19:36:15 0 d-------- C:\Programme\Kaspersky Lab<KASPER~1>
2007-02-24 19:36:13 31008 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-02-24 19:36:13 2915616 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-02-07 16:19:09 49399 -ra------ C:\WINDOWS\system32\drivers\mamotou.sys
2007-02-07 16:04:27 24789 -ra------ C:\WINDOWS\system32\drivers\MaVctrl.sys
2007-02-07 16:04:27 11473 -ra------ C:\WINDOWS\system32\drivers\MaVc2K.sys
2007-02-07 16:04:27 49484 -ra------ C:\WINDOWS\system32\drivers\MARDPNP.SYS
2007-02-07 16:04:27 49867 -ra------ C:\WINDOWS\system32\drivers\mardp2k.sys
2007-02-06 16:00:40 221184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-02-06 16:00:34 0 d-------- C:\Programme\Windows Media Connect 2<WI4DF6~1>
2007-02-06 15:59:05 0 d-------- C:\WINDOWS\system32\LogFiles
2007-02-06 15:59:05 0 d-------- C:\WINDOWS\system32\drivers\UMDF
2007-02-05 18:42:23 24072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-02-03 14:38:28 5632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-02-03 14:38:27 159232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-02-03 14:25:27 0 d-------- C:\Programme\Canon
2007-02-03 14:24:50 0 d-------- C:\Programme\Gemeinsame Dateien\Canon
2007-01-29 23:09:14 23196 --a------ C:\WINDOWS\system32\drivers\klop.dat
2007-01-29 23:04:00 200768 --a------ C:\WINDOWS\system32\klogon.dll
2007-01-29 09:58:06 60416 -----n--- C:\WINDOWS\system32\tzchange.exe
2007-01-29 06:26:19 149413 --a------ C:\WINDOWS\Folienviewer2 Uninstaller.exe<FOLIEN~1.EXE>
2007-01-29 06:26:18 0 d-------- C:\Programme\Folienviewer2<FOLIEN~1>
2007-01-28 17:57:05 25600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2007-01-25 19:27:38 109848 --a------ C:\WINDOWS\system32\drivers\kl1.sys


-- Find3M Report ----------------------------------------------------------------

2007-02-25 13:52:18 316924 --a------ C:\WINDOWS\system32\perfh007.dat
2007-02-25 13:52:18 48354 --a------ C:\WINDOWS\system32\perfc007.dat
2007-02-24 23:46:42 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-02-24 17:00:43 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Azureus
2007-02-24 12:25:05 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard<WISEIN~1>
2007-02-23 18:13:47 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Vso
2007-02-16 18:40:14 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\MobileAction<MOBILE~1>
2007-02-11 15:09:32 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-01-29 06:26:32 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Cornelsen<CORNEL~1>
2007-01-15 13:17:11 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\AdobeUM
2007-01-03 17:16:24 0 d-------- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\Sun
2007-01-03 17:15:58 0 d-------- C:\Programme\Java
2007-01-03 17:13:51 0 d-------- C:\Programme\Gemeinsame Dateien\Java
2006-12-28 14:13:39 0 d-------- C:\Programme\ICQToolbar<ICQTOO~1>
2006-12-22 15:47:15 34 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.log
2006-12-22 15:47:10 47360 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.sys
2006-12-22 15:47:10 1144 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.inf
2006-12-22 15:47:10 7176 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\pcouffin.cat
2006-12-22 15:47:10 81920 --a------ C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\ezpinst.exe
2006-12-19 22:49:41 135168 --a------ C:\WINDOWS\system32\shsvcs.dll
2006-12-19 19:17:03 334336 --a------ C:\WINDOWS\system32\wiaservc.dll
2006-12-10 20:26:00 40 ---hs---- C:\Dokumente und Einstellungen\onkelz\Anwendungsdaten\.zreglib<ZREGLI~1>
2006-12-04 22:14:06 81920 --a------ C:\WINDOWS\system32\ElbyCDIO.dll
2006-11-27 15:54:15 433152 --a------ C:\WINDOWS\system32\riched20.dll
2006-11-27 15:54:15 539136 -----n--- C:\WINDOWS\system32\msftedit.dll


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"T-Online_Software_5\\WLAN-Access Finder"="C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
"NoAdware4"="\"C:\\Programme\\NoAdware4\\NoAdware4.exe\" :Scan:"
"H/PC Connection Agent"="\"F:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMan"="soundman.exe"
"PRISMSVR.EXE"="\"C:\\Programme\\T-Com\\Sinus 154 data II\\PRISMSVR.EXE\" /APPLY"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Ulead Photo Express 5 SE Calendar Checker"="f:\\Programme\\Ulead Systems\\Ulead Photo Express 5 SE\\calcheck.exe"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

HKLM\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp



-- End of ComboScan: finished at 2007-02-25 at 16:03:25 -------------------------
Seitenanfang Seitenende
25.02.2007, 17:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 1 oder 2 oder 3

1 : es wird a-squared geladen

3. full scan (heuristic/riskware scanning enabled)
4. save quarantine list - poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 19:22
...neu hier

Themenstarter

Beiträge: 9
#11 Scan settings:

Objects: Memory, Traces, Cookies, C:
Scan archives: On
Heuristics: On
ADS Scan: On

Scan start: 25.02.2007 18:00:36

Key: HKEY_LOCAL_MACHINE\software\orl\winvnc3 detected: Trace.Registry.VNC.CommonComponents
Key: HKEY_LOCAL_MACHINE\software\realvnc detected: Trace.Registry.VNC
C:\Dokumente und Einstellungen\onkelz\Cookies\onkelz@2o7[2].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\onkelz\Cookies\onkelz@adserver.easyad[2].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\onkelz\Cookies\onkelz@doubleclick[1].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\onkelz\Cookies\onkelz@mediavantage[2].txt detected: Trace.TrackingCookie
C:\Programme\Gemeinsame Dateien\Logitech\WebColct\WebColps.dll detected: Adware.Altnet.b

Scanned

Files: 59337
Traces: 78819
Cookies: 45
Processes: 35

Found

Files: 1
Traces: 2
Cookies: 4
Processes: 0

Quarantined

Files: 1
Traces: 2
Cookies: 4
Processes: 0

Scan end: 25.02.2007 18:29:36
Scan time: 00:29:00
Seitenanfang Seitenende
25.02.2007, 19:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 poste noch mal die 6 logs von datfindbat ;)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 19:40
...neu hier

Themenstarter

Beiträge: 9
#13 gut, mache ich.
gerade hat Antivir "TR/Small.DBY.AQ" gefunden ... was auch immer das schon wieder ist ...
einfach frustrierend... [/url]
Seitenanfang Seitenende
25.02.2007, 19:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 poste die 6 logs von datfindbat
dann boote in den abgesicherten Modus und mache dort einen komplettscan mit antivirus, poste dann hier den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.02.2007, 20:47
...neu hier

Themenstarter

Beiträge: 9
#15 bitte:
datfindbat:

system32

Volume in Laufwerk F: hat keine Bezeichnung.
Volumeseriennummer: 2C34-2701

Verzeichnis von F:\

25.02.2007 13:36 690.055 SDFix.zip
24.02.2007 23:18 127.378 avenger.zip
24.02.2007 22:59 699.969 SmitfraudFix.zip
24.02.2007 21:06 289 datFind.zip
24.02.2007 19:31 21.545.992 kav6.0.2.614de.exe
24.02.2007 18:26 218.112 HijackThis.exe
24.02.2007 10:58 12.357.303 Bachkippe.mp4
19.02.2007 14:38 289 TREEINFO.WC
16.02.2007 10:09 32.989.752 USBV220_V92.exe
16.02.2007 10:01 5.003.575 DrvMdmSetup_Pure_V92.exe
10.02.2007 18:32 10.671.597 gaim-2.0.0beta6.exe
07.02.2007 17:10 30.208 entwicklungspsych[1]._sozialisationsforschung.doc
06.02.2007 18:00 48.128 4633.doc
04.02.2007 21:57 854.012 3-464-00053483-0.pdf
02.02.2007 17:37 251.029 AntiTwin.zip
28.01.2007 18:05 1.823 vrlmt0ia.zip
03.08.2006 15:06 43.520 Beschreibung.doc
14.01.2005 16:24 282 desktop.ini
18 Datei(en) 85.533.313 Bytes
0 Verzeichnis(se), 6.381.268.992 Bytes frei



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 25. Februar 2007 19:52

Es wird nach 683955 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: onkelz
Computername: ONKELZ-LAA913HD

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 25.02.2007 16:55:49
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 16:55:50
ANTIVIR2.VDF : 6.37.1.152 2048 Bytes 23.02.2007 16:55:50
ANTIVIR3.VDF : 6.37.1.157 15872 Bytes 25.02.2007 16:55:50
AVEWIN32.DLL : 7.3.1.38 2322944 Bytes 25.02.2007 16:55:50
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.37.1.100 1142824 Bytes 25.02.2007 16:55:50
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31
AVREG.DLL : 7.0.1.2 30760 Bytes 25.02.2007 16:55:49
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: F:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: H:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Sonntag, 25. Februar 2007 19:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 22 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Beginne mit der Suche in 'F:\'
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 25. Februar 2007 20:34
Benötigte Zeit: 42:16 min

Der Suchlauf wurde vollständig durchgeführt.

4134 Verzeichnisse wurden überprüft
150780 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
150780 Dateien ohne Befall
1109 Archive wurden durchsucht
1 Warnungen
33 Hinweise




und er hat den Trojaner wieder gefunden ... gerade eben ...
in c:/Systeme Volume Information/.../a0162589.exe

mal wieder danke, danke im voraus...
Dieser Beitrag wurde am 25.02.2007 um 22:14 Uhr von wollek75 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: