Von TR/Dldl.Small.DDT.3 und TR/Zapchast.CP(und evtl anderen) befallen

#0
04.03.2007, 00:00
Member

Beiträge: 28
#1 Also ich bitte zu berücksichtigen das da zum Teil Sachen schon vor Jahren eingefangen wurden sein können, da ich das System die letzten Jahre kaum benutzt hab. Hab dann nach einer Installation von Antivir 135 Einträge gefunden....das einzige was sich bis jetzt nach einem Neustart wieder eigenfunden hat ist halt TR/Dldl.Small.DDT.3 (aber kann durchaus noch anderes drauf sein...klasse Schutz durch meine Altlast Norton).

EDIT: Neuer Fund: TR/Zapchast.CP in C:\System Volume Information\...\ A0015768.exe (taucht immer wieder auf)

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 10:14:17, on 02.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\winsyslog.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\mobsync.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programme\Skype\Skype.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\christian\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINNT\system32\ipv6monl.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Helper Class - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - C:\WINNT\system32\helper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.spacebattle.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2647c98bcfd2c158f022/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117120513562
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINNT\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINNT\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Server Management Services (Windows Torrent Server) - Unknown owner - C:\WINNT\winsyslog.exe

Zitat

ComboScan v20070226.18 run by christian on 2007-03-02 at 10:31:49
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Successfully created restore point.
Performed disk cleanup.


-- HijackThis (run as christian.exe) --------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 10:32:30, on 02.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\Programme\OO Software\CleverCache\OOCCSVC.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\winsyslog.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
C:\Programme\Skype\Skype.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\QIP\qip.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\christian\Desktop\comboscan.exe
C:\DOKUME~1\CHRIST~1\Desktop\christian.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINNT\system32\ipv6monl.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Helper Class - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - C:\WINNT\system32\helper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programme\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.spacebattle.de
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2647c98bcfd2c158f022/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117120513562
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.7) - http://advisor.futuremark.com/global/msc37.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINNT\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINNT\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Server Management Services (Windows Torrent Server) - Unknown owner - C:\WINNT\winsyslog.exe


-- File Associations ------------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINNT\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

0R a347bus - C:\WINNT\system32\drivers\a347bus.sys
0R a347scsi - C:\WINNT\system32\drivers\a347scsi.sys
1R avgio - C:\Programme\AntiVir PersonalEdition Classic\avgio.sys
3R avgntflt - C:\Programme\AntiVir PersonalEdition Classic\avgntflt.sys
3S CCDECODE (Untertiteldecoder) - C:\WINNT\system32\drivers\CCDECODE.sys
3R CTL511Plus (Video Blaster WebCam 3/WebCam Plus (WDM)) - C:\WINNT\system32\drivers\webc3vid.sys
3R dtscsi - C:\WINNT\system32\drivers\dtscsi.sys
3R ElbyCDFL - C:\WINNT\system32\drivers\ElbyCDFL.sys
2R ElbyCDIO (ElbyCDIO Driver) - C:\WINNT\system32\drivers\ElbyCDIO.sys
3S ENTECH - C:\WINNT\system32\drivers\Entech.sys
3R FETNDIS (VIA Rhine Family Fast Ethernet Adapter Driver) - C:\WINNT\system32\drivers\fetnd5b.sys
3S MSTEE (Microsoft Streaming Tee/Sink-to-Sink-Konvertierung) - C:\WINNT\system32\drivers\MSTEE.sys
3S NABTSFEC (NABTS/FEC VBI-Codec) - C:\WINNT\system32\drivers\NABTSFEC.sys
3S NdisIP (Microsoft TV-/Videoverbindung) - C:\WINNT\system32\drivers\NdisIP.sys
3S NTSIM - C:\WINNT\system32\ntsim.sys
3R nv - C:\WINNT\system32\drivers\nv4_mini.sys
1R oreans32 - C:\WINNT\system32\drivers\oreans32.sys
4S Parallel (Parallelklassentreiber) - C:\WINNT\system32\DRIVERS\parallel.sys (not found)
3R pfc (Padus ASPI Shell) - C:\WINNT\system32\drivers\pfc.sys
0R PxHelp20 - C:\WINNT\system32\drivers\PxHelp20.sys
3S QV2KUX (Casio-Digitalkamera) - C:\WINNT\system32\drivers\qv2kux.sys
3S SANDRA - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\sandra.sys
3S sermouse (Serieller Maustreiber) - C:\WINNT\system32\drivers\sermouse.sys
3S SLIP (BDA Slip De-Framer) - C:\WINNT\system32\drivers\SLIP.sys
0R sptd - C:\WINNT\system32\drivers\sptd.sys
0R srescan - C:\WINNT\system32\ZoneLabs\srescan.sys
3S streamip (BDA-IPSink) - C:\WINNT\system32\drivers\StreamIP.sys
3S SymEvent - C:\Programme\Symantec\SYMEVENT.SYS
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINNT\system32\drivers\usbehci.sys
3S USBSTOR (USB-Massenspeichertreiber) - C:\WINNT\system32\drivers\USBSTOR.SYS
0R viaagp (VIA AGP-Bus-Filter) - C:\WINNT\system32\drivers\viaagp.sys
0R viaagp1 (VIA AGP Filter) - C:\WINNT\system32\drivers\VIAAGP1.SYS
3R VIAudio (VIA AC'97 Enhanced Audio Controller (WDM)) - C:\WINNT\system32\drivers\viaudio.sys
1R vsdatant - C:\WINNT\system32\vsdatant.sys
3S WSTCODEC (World Standard Teletext-Codec) - C:\WINNT\system32\drivers\WSTCODEC.SYS
3S WudfPf (Windows Driver Foundation - User-mode Driver Framework Platform Driver) - C:\WINNT\system32\drivers\WudfPf.sys
3S WudfRd (Windows Driver Foundation - User-mode Driver Framework Reflector) - C:\WINNT\system32\drivers\WudfRd.sys


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

2R AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
2R AntiVirService (AntiVir PersonalEdition Classic Guard) - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
3S aspnet_state (ASP.NET-Statusdienst) - C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
2S Fax - C:\WINNT\system32\fxssvc.exe
2R NVSvc (NVIDIA Display Driver Service) - C:\WINNT\system32\nvsvc32.exe
2R O&O Defrag - C:\WINNT\system32\oodag.exe
2R OOCleverCache (O&O CleverCache Pro) - "C:\Programme\OO Software\CleverCache\OOCCSVC.exe"
3S ose (Office Source Engine) - "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"
3S SandraDataSrv (Sandra Data Service) - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
3S SandraTheSrv (Sandra Service) - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
3S SCardDrv (Smartcard-Hilfsprogramm) - C:\WINNT\System32\SCardSvr.exe
3S usnjsvc (Messenger USN Journal Reader-Service für freigegebene Ordner) - "C:\Programme\MSN Messenger\usnsvc.exe"
3S UtilMan (Hilfsprogramm-Manager) - C:\WINNT\System32\UtilMan.exe
2R vsmon (TrueVector Internet Monitor) - C:\WINNT\system32\ZoneLabs\vsmon.exe -service
2R Windows Torrent Server (Windows Server Management Services) - "C:\WINNT\winsyslog.exe"


-- Files created between 2007-02-02 and 2007-03-02 ------------------------------

2007-03-02 09:28:44 4212 ---h----- C:\WINNT\system32\zllictbl.dat
2007-03-02 09:28:17 42920 --a------ C:\WINNT\system32\vsutil_loc0407.dll<VSUTIL~1.DLL>
2007-03-02 09:28:00 0 d-------- C:\WINNT\system32\ZoneLabs
2007-03-02 09:27:13 0 d-------- C:\WINNT\Internet Logs<INTERN~1>
2007-03-01 23:02:39 14848 --a------ C:\WINNT\system32\drivers\avgntmgr.sys
2007-03-01 23:02:39 34304 --a------ C:\WINNT\system32\drivers\avgntdd.sys
2007-03-01 23:02:28 0 d-------- C:\Programme\AntiVir PersonalEdition Classic<ANTIVI~1>
2007-03-01 22:51:53 0 d-------- C:\Programme\QIP
2007-03-01 21:02:58 0 d-------- C:\Programme\Winamp
2007-03-01 20:03:25 129784 -----n--- C:\WINNT\system32\pxafs.dll
2007-03-01 20:03:25 2560 -----n--- C:\WINNT\system32\drivers\cdralw2k.sys
2007-03-01 20:03:25 2432 -----n--- C:\WINNT\system32\drivers\cdr4_xp.sys
2007-03-01 15:35:36 1 --a------ C:\WINNT\system32\ps.dat
2007-03-01 15:35:33 1 --a------ C:\WINNT\system32\wab.dat
2007-03-01 15:35:33 1 --a------ C:\WINNT\system32\cookie.dat
2007-03-01 15:16:45 45056 --a------ C:\WINNT\system32\helper.dll
2007-02-28 14:29:30 0 d-------- C:\Programme\Windows Media Connect 2<WI4DF6~1>
2007-02-28 14:26:35 0 d-------- C:\WINNT\system32\drivers\UMDF
2007-02-28 14:02:23 0 d-------- C:\WINNT\ie7updates<IE7UPD~1>
2007-02-28 13:32:53 0 d-------- C:\WINNT\WBEM
2007-02-28 13:32:51 0 d-------- C:\WINNT\system32\de-de
2007-02-28 13:30:32 0 d--h---c- C:\WINNT\ie7
2007-02-28 13:27:37 121856 -----n--- C:\WINNT\system32\xmllite.dll
2007-02-28 13:25:50 0 d-------- C:\WINNT\network diagnostic<NETWOR~1>
2007-02-28 12:59:14 851456 -r-hs---- C:\WINNT\winsyslog.exe<WINSYS~1.EXE>
2007-02-28 12:59:12 33920 --a------ C:\WINNT\system32\drivers\oreans32.sys
2007-02-28 12:28:28 0 d-------- C:\Program Files<PROGRA~2>
2007-02-28 12:11:41 0 d-------- C:\Dokumente und Einstellungen\christian\Contacts
2007-02-28 12:10:28 0 d------c- C:\WINNT\system32\DRVSTORE
2007-02-28 05:55:43 0 d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-02-28 05:55:35 0 d-------- C:\Programme\toolbars


-- Find3M Report ----------------------------------------------------------------

2007-03-02 10:29:29 0 d-------- C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype
2007-03-02 09:18:56 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared<SYMANT~1>
2007-03-02 09:18:54 0 d-------- C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Symantec
2007-03-02 09:15:59 0 d-a------ C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-03-01 22:54:01 0 d-------- C:\Programme\ICQ
2007-02-28 14:24:59 0 d-------- C:\Programme\Windows Media Connect<WI88B7~1>
2007-02-28 13:01:43 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1>
2007-02-28 12:28:38 0 d-------- C:\Dokumente und Einstellungen\christian\Anwendungsdaten\BitTorrent<BITTOR~1>
2007-02-28 12:28:08 0 d-------- C:\Programme\BitTorrent<BITTOR~1>
2007-02-28 12:11:03 0 d-------- C:\Programme\MSN Messenger<MSNMES~1>
2007-02-28 05:55:44 0 d-------- C:\Programme\Skype
2007-02-28 05:43:00 0 d-------- C:\Programme\Java
2007-01-29 09:58:06 60416 -----n--- C:\WINNT\system32\tzchange.exe
2007-01-19 12:53:04 51056 --a------ C:\WINNT\system32\sirenacm.dll
2007-01-12 09:27:42 232960 --a------ C:\WINNT\system32\webcheck.dll
2007-01-12 09:27:42 51712 -----n--- C:\WINNT\system32\msfeedsbs.dll<MSFEED~1.DLL>
2007-01-12 09:27:42 458752 -----n--- C:\WINNT\system32\msfeeds.dll
2007-01-12 09:27:42 6054400 --a------ C:\WINNT\system32\ieframe.dll
2007-01-08 19:04:54 105984 --a------ C:\WINNT\system32\url.dll
2007-01-08 19:04:08 102400 --a------ C:\WINNT\system32\occache.dll
2007-01-08 19:02:04 266752 --a------ C:\WINNT\system32\iertutil.dll
2007-01-08 19:02:04 44544 --a------ C:\WINNT\system32\iernonce.dll
2007-01-08 19:02:02 384000 --a------ C:\WINNT\system32\iedkcs32.dll
2007-01-08 19:02:02 383488 --a------ C:\WINNT\system32\ieapfltr.dll
2007-01-08 19:02:02 161792 --a------ C:\WINNT\system32\ieakui.dll
2007-01-08 19:02:02 230400 --a------ C:\WINNT\system32\ieaksie.dll
2007-01-08 19:02:02 153088 --a------ C:\WINNT\system32\ieakeng.dll
2007-01-08 19:01:14 17408 --a------ C:\WINNT\system32\corpol.dll
2007-01-08 19:00:48 124928 --a------ C:\WINNT\system32\advpack.dll
2007-01-08 18:08:14 56832 --a------ C:\WINNT\system32\ie4uinit.exe
2007-01-08 18:08:10 13824 --a------ C:\WINNT\system32\ieudinit.exe
2006-12-19 22:49:41 135168 --a------ C:\WINNT\system32\shsvcs.dll
2006-12-19 19:17:03 334336 --a------ C:\WINNT\system32\wiaservc.dll


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Active Desktop Calendar"="C:\\Programme\\XemiComputers\\Active Desktop Calendar\\ADC.exe"
"Skype"="\"C:\\Programme\\Skype\\Skype.exe\" /nosplash /minimized"
"ctfmon.exe"="C:\\WINNT\\system32\\ctfmon.exe"
"WMPNSCFG"="C:\\Programme\\Windows Media Player\\WMPNSCFG.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"NeroFilterCheck"="C:\\WINNT\\system32\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"NvCplDaemon"="RUNDLL32.EXE C:\\WINNT\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINNT\\system32\\NvMcTray.dll,NvTaskbarInit"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"
"tscuninstall"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,74,73,63,75,70,67,72,64,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\control panel\load]
"net_insll"=dword:45e72e26
"worg"=hex:a2,d4,ae,ba,78,6d,50,41,7a,7e,4b,13,ff,c2,a1,93,76,0f,2d,07,f6,d6,\
cb,72,3a,13,96,f6,77,28,f0,a4,2f,33,aa,b9,78,29
"cmpid"=hex:e0,a1,5f,3f,22,2f,65,09,72,60,52,3a,d1,9a,f2,d6,34,16,7c,5f,d1,88,\
a6,25,03,47,e0,9b,27,08,b6,f3,41,02,b0,fd,20,1c,e2,c6,74,a1,a5,7c,a3,db,07,\
e2,34,27,86,10,a9,b8,51,e5,79,f7,61,df,54,cd,3c,b2,41,b8,30,bf
"kyrpa"=hex:68,75,70,79,2a,36,0b,5b,2f,3a,01,0b,e6,87,ad,8f,66,4e,6b,0a,ea,db,\
d6,3e,27,10,d0,bc,3f,2d,e5,b5,61,6f,f4,a1,60
"bltx"=hex:b1,94,53,1f,53,23,78,66,09,1f,2a,2d,cc,da,bd,92,74,44,29,5a,a2,e5,\
86,70,2e,1a,c0,b8,64,28,aa,b5,78,35
"ino"=hex:15,26,db,fb,69
"info_sze"=hex:7b,92,26,78,21,28,13,04,73,65
"faddress"=hex:5b,43,93,ed,78,6d,50,41,7a,7e,4b,13,ff,c2,a1,93,76,0f,2d,07,f6,\
d6,cb,72,3a,13,96,f6,77,28,f0,a4,2f,25,e5,bd,71,77,d4,99,30
"tannumr"=hex:ae,2b,b1,84,25
"tantotl"=hex:0d,be,d5,1a,22
"ptexcl"=hex:d9,3a,a8,55,3a,7a,4b,5f,34,30,07,0d,be,cc,a6,80,79,0f,20,0c,ba,82,\
ce,72,27,18,90,f7,75,2b,e5,b8,2e,25,e1,e3,2b,73,d3,86,37,bf,85,4c,e4,86,37,\
c2,6f,14,b0,1b,a4,d7,00,b4,6a
"uincl"=hex:e3,d6,32,36,78,6d,50,41,33,7b
"tas"=hex:4d,78,34,c4,78,6d,50,41,33,6b,4b,56,e7,de,b3,cf,76,53,69,07,f5,cd,93,\
7e,32,1d,c0,f4,75,2b,e5,af,6b,28,ea,ae,3e,3d,c1,af,04,f4,97,4d,f9,87,25,d5,\
69,0e,aa,6b,f1,97,0f,bf,21,dc,41,e5,43,ea,6c,ec,65,f5,70,ec,62,f5,4d,df,27,\
ea,0c,8d,e4,59,b7,5b,2f,8e,33,9e,e7,17,80,e3,25,82,c0,37,75,bb,a9,31,72,a8,\
f2,28,64,f7,c0,14,6a,64,81,db,f5,1b,33,44,69,92,b1,c7,f7,0a,3a,30,30,50,47,\
71,75,75,25,32,3b,69,70,7d,60,6a,1e,1e,6f,7b,4a,1d,f5,f7,b8,8e,6e,48,76
"taloinata"=hex:45,76,8e,07,72,78,4a,5a,29,3f,03,57,f4,cc,a3,94,73,52,25,44,f2,\
d8,8a,7a,6e,15,c1,e3,73,3c,f7,b5,6f,2c,e1,bb,79,3d,88,81,29,ff,c8,49,f5,9b,\
37,c5,61,15,a5,12,f3,96,09,bc,25,c3,5e,fb,71,e7,6f,e8,6e,e6,2a,ed,75,a3,50,\
d4,29,bd,0a,9c,f8,44,a1,13,6e,d4,29,84,f5,4b,c8,e1,29,9f,88,29,7c,bd,e8,2e,\
67,a8,ea,16,3c,86,ca,04,2d,7c,81,cb,ab,0c,26,40,6e,8a,ad,c7,f7,57,17,21,21,\
43,40,78,72,68,6a,6a,3a,62,71,7a,64,76,49,54,32,38,00,55,e0,c0,aa,da,68,55,\
30,19,e3,93,97,74,22,4b,d1,aa,75,3b,ed,a5,2c,31,ed,a7,2b,3d,cd,93,21,bf,80,\
5c,aa,b6,31,d2,65,13,e8,76,e0,8e,00,fd,1f,d8,40,fc,7e,fd,3f,f7,6f,ed,6f,fa,\
72,f8,4a,da,6e,b5,01,c3,f4,40,b6,04,6b,d5,1b,87,e5,54,89,f4,32,dd,d4,30,7e,\
a4,f4,28,6e,fa,f3,3e,22,f7,cc,1e,2d,74,86,d8,fe,02,2d,4f,67,db,af,dd,ff,17,\
16,7d,30,58,4a,22,7e,6c,70,63,61,6f,6f,60,7e,7e,0a,50,34,6b,11,0a,f5,db,9b,\
88,64,0d,27,1b,e9,c9,90,74,24,01,d3,bd,2b,3a,f4,a0,72,2a,e5,ba,63,3c,8e,df,\
24,f4,de,49,f1,9b,25,cc,31,4d,b4,48,e2,98,09,e3,7b,d3,45,f7,7b,e0,6a,e6,2a,\
e5,61,a6,79,e9,57,8b,2a,8e,11,8a,f5,5b,aa,00,6d,c4,68,83,cf,49,85,e2,33,86,\
cb,2b,74,f2,f4,2e,73,b5,e6,28,7e,b2,8a,15,25,2b,85,da,f3,06,31,4f,74,8f,b1,\
c4,f2,1c,16,7d,30,58,4a,77,65,64,66,64,72,3a,77,6b,3e,33,51,5f,29,7c,03,16,\
f5,dd,b0,88,6e,46,21,07,be,dd,81,2b,35,02,c1,ab,7e,28,e9,a4,2c,31,e5,ba,63,\
2e,cb,83,24,aa,89,5c,f9,87,21,8f,64,04,b1,5d,e3,9a,0c,b4,6d,d3,45,f7,7b,a7,\
60,e4,3a,e3,76,e8,7e,fa,4c,9d,21,b2,07,96,e5,47,b0,0f,75,cc,26,8c,e2,15,97,\
e4,22,90,c7,3a,7f,bc,ea,35,2c,b1,ed,27,2b,bb,c5,1f,2b,78,8a,de,be,0d,2b,4f,\
6e,84,b6,87,f4,1c,5e,3a,2e,45,49,72,7f,67,70,6e,6e,74,69,64,75,6b,08,41,29,\
3f,09,09,f9,c7,ff,da,6f,4f,28,00,fe,dc,86,70,2e,1a,cd,b7,77,67,ea,ae,72,28,\
f7,ab,71,37,cf,df,24,f4,de,52,ff,87,30,ce,6e,14,a9,44,f5,8b,48,a1,29,df,1f,\
f0,7e,fd,61,f3,6e,e4,70,eb,71,f7,4f,d8,2e,b6,4a,9e,f1,4d,ea,05,65,9b,2f,82,\
e4,57,96,bd,2b,9a,d0,2d,68,bd,f4,36,3b,a3,e5,27,7b,b0,ca,16,6e,3b,ca,dd,f5,\
46,27,46,69,ce,ee,87,f3,1e,0d,6b,2b,45,4b,77,62,25,74,68,6e,3a,60,68,72,34,\
46,50,2e,3a,4a,1a,ff,c4,eb,cb,2f,49,2b,04,f5,c9,85,76,25,5f,ce,aa,60,76,e7,\
ae,6e,35,e1,a7,64,73,c8,9e,27,f8,8a,03,f1,9c,30,c9,65,0f,b0,40,f6,90,07,b0,\
34,d8,4b,f7,7e,fc,69,e3,65,f3,68,e6,77,f0,4a,9d,30,b8,0a,95,ff,4e,ad,0f,2c,\
c8,20,8c,fe,4d,8d,f7,29,94,d6,35,7f,ae,ed,2f,3b,a3,e5,27,7b,b0,ca,16,6e,72,\
87,94,f2,08,2a,4a,2e,85,a1,86,ba,56,08,3e,27,58,4a,23,7a,56,71,72,65,73,6a,\
68,7d,7c,08,5b,1f,21,05,0a,e3,de,ab,93,64,1a,33,1e,e7,97,8a,63,37,13,c5,b7,\
7b,67,e0,a4,2f,31,f6,a6,73,3c,d7,82,2c,fe,83,50,fe,c7,20,ce,3a,14,b7,4c,e2,\
9c,09,b0,29,dd,08,ec,63,ec,76,f1,61,f2,77,fe,7f,eb,40,8a,37,a6,13,d7,f2,41,\
a2,4c,62,c0,2a,82,be,5a,8b,fc,6f,db,8b,2e,75,ab,ae,2d,6f,a6,ed,27,2a,ac,d7,\
14,32,78,80,95,e0,1e,20,1a,73,92,ab,87,f1,14,01,23,29,52,45,77,75,71,74,73,\
65,72,77,27,73,76,49,1e,33,22,0b,56,fc,c6,a3,8e,6e,0f,22,0a,f3,83,91,62,25,\
03,cd,bd,3c,39,f3,a5,3b,2e,ea,a5,79,37,c1,dc,22,f0,8a,52,f9,87,23,8f,76,16,\
a6,48,fe,92,4a,b5,25,9e,0e,b6,60,e8,63,e4,73,ae,67,e6,7e,ed,56,de,2c,ff,05,\
8a,e0,13,a8,0e,67,c8,2a,c5,e0,58,97,e2,37,9e,d6,3d,2b,ab,e5,2f,6b,a8,ea,2e,\
3e,bb,d3,5c,22,70,8a,d2,be,0d,21,1b,6b,8e,aa,dd,ff,17,11,3c,2d,54,56,35,30,\
6f,76,35,68,74,6d,31,7e,7b,52,4b,35,6a,02,10,fe,c8,aa,9b,70,4e,36,1d,f1,d5,\
ca,77,29,15,d1,ba,79,28,aa,a5,65,6e,ed,a7,74,3c,dc,df,30,f9,94,03,e5,9a,21,\
d3,2c,41,a5,45,f9,98,17,fd,60,c1,4d,f7,2b,a8,66,e0,6e,ea,6d,e7,77,e9,4b,c3,\
34,b0,08,c3,fb,46,aa,15,6f,cf,31,84,f2,5c,96,aa,61,86,d3,2e,3a,bf,f6,6c,2a,\
a4,e6,28,7e,b2,cd,1f,27,3f,80,dc,ab,48,27,48,74,88,a6,c8,fe,12,4a,35,25,1e,\
4c,76,7d,6c,66,60,6e,6a,6d,67,77,6a,41,52,35,23,01,56,f9,c7,b7,84,73,52,6a,\
08,e3,c9,db,4e,24,4c,d3,bc,7c,2a,eb,ac,65,2c,e5,bd,2b,78,cc,90,33,e1,85,17,\
f4,8c,7f,80,77,16,b3,07,f4,8b,01,a2,24,df,41,eb,3d,f9,76,e8,76,e0,70,a7,74,\
fc,0e,c1,29,bf,08,96,f7,40,aa,5a,21,c2,36,8c,f4,50,90,e1,2c,84,d7,77,74,ac,\
bf,60,69,af,f0,2c,62,b7,c1,05,22,70,8a,d2,f9,07,23,1a,21,91,ad,c7,fc,16,03,\
38,2e,1f,40,76,2b,28,74,6e,72,75,65,65,3a,37,40,54,6f,7b,09,18,f9,c7,fe,8a,\
6f,4f,30,06,fe,cc,89,7c,25,03,9f,f8,7d,30,aa,a9,79,31,eb,bf,75,2b,c1,98,2e,\
e2,86,58,fe,82,6a,c5,65,4e,a8,46,f7,90,0a,fe,24,d8,56,fc,73,fd,66,e0,6e,ea,\
6d,e7,77,b6,40,d8,32,b4,07,8d,f2,48,aa,0a,69,cf,23,85,ff,5e,8d,ff,6e,97,cb,\
2b,7d,f2,a5,2e,6e,ad,ed,27,75,f7,c6,10,6d,72,85,97,f3,06,29,0e,73,84,b6,df,\
fc,1c,10,7e,33,42,4b,75,7f,6e,6d,6f
"h"=dword:45e74ccf
"forwas"=hex:15,26,db,fb,69


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
rpcss REG_MULTI_SZ RpcSs\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_SRESCAN
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_VSMON


-- End of ComboScan: finished at 2007-03-02 at 10:33:29 -------------------------

Zitat

ComboScan v20070226.18 run by christian on 2007-03-02 at 10:31:49
Supplementary logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information -----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) Processor
Percentage of Memory in Use: 72%
Physical Memory (total/avail): 255.48 MiB / 70.07 MiB
Pagefile Memory (total/avail): 617.38 MiB / 262.4 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1995.01 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 11.01 GiB total, 1.47 GiB free.
D: is Fixed (NTFS) - 39.94 GiB total, 2.79 GiB free.
E: is Fixed (NTFS) - 4.98 GiB total, 4.76 GiB free.
F: is CDROM (No Media)
G: is CDROM (No Media)
H: is CDROM (No Media)


-- Security Center --------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.
FirewallDisableNotify is set.

FW: Norton Internet Worm Protection v2006 (Symantec) [COLOR=RED]Disabled[/COLOR]
FW: ZoneAlarm Firewall v6.5.737.000 (Zone Labs, Inc.)
AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH)


-- Environment Variables --------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\christian\Anwendungsdaten
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
ComSpec=C:\WINNT\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\system32\WBEM;C:\Programme\Satsuki Decoder Pack\filtres\divers
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 4 Stepping 2, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0402
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp
tvdumpflags=8
USERPROFILE=C:\Dokumente und Einstellungen\christian
windir=C:\WINNT


-- User Profiles ----------------------------------------------------------------

christian (admin)


-- Add/Remove Programs ----------------------------------------------------------

--> MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINNT\INF\PCHealth.inf
ACDSee 5.0 Standard --> MsiExec.exe /I{AF5E8D43-49AD-4BE7-A941-2BB0A8CACA62}
Active Desktop Calendar --> C:\WINNT\uninst.exe -f"C:\Programme\XemiComputers\Active Desktop Calendar\DeIsL1.isu" -c"C:\Programme\XemiComputers\Active Desktop Calendar\_ISREG32.DLL"
Adobe Acrobat 5.0 --> C:\WINNT\ISUNINST.EXE -f"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.isu" -c"C:\Programme\Gemeinsame Dateien\Adobe\Acrobat 5.0\NT\Uninst.dll"
Adobe Flash Player 9 ActiveX --> C:\WINNT\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Ahead Nero Burning Rom PlugIn Pack 2.0.2 by MadHacker2k4 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2715D1D6-2B81-4DD5-A9DC-6EFF4D5E0993}\setup.exe" -l0x7 -removeonly
AVIcodec (remove only) --> "C:\Programme\AVIcodec\uninst.exe"
Avira AntiVir PersonalEdition Classic --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BitTorrent 5.0.6 --> "C:\Programme\BitTorrent\uninstall.exe"
CDRWIN 5 --> MsiExec.exe /I{9B2B0EAD-2CC7-4589-B3AA-D23BAB724065}
CleanUp! --> C:\Programme\CleanUp!\uninstall.exe
CloneCD --> "C:\Programme\SlySoft\CloneCD\ccd-uninst.exe" /D="C:\Programme\SlySoft\CloneCD"
CoffeeCup Free Viewer Plus --> C:\PROGRA~1\COFFEE~1\FREEVI~1\UNWISE.EXE C:\PROGRA~1\COFFEE~1\FREEVI~1\INSTALL.LOG
Combined Community Codec Pack 2006-03-06 (Remove Only) --> C:\Programme\Combined Community Codec Pack\Uninstall.exe
Creative Video Blaster WebCam 3 USB/WebCam Plus Driver --> C:\WINNT\ctdrvins.exe -uninstall usb\vid_05a9&pid_0511 -plugin webc3pin.dll -pluginres webc3pin.crl
Die Siedler II - Die nächste Generation --> "D:\Die Siedler II - Die nächste Generation\uninstall.exe"
DivX ;-) Audio Compressor 4.02 --> C:\WINNT\system32\rundll32.exe setupapi,InstallHinfSection Remove_DivX 132 C:\WINNT\INF\DivXAudioCompressor4.02.inf
EditPlus 2 --> C:\Programme\EditPlus 2\remove.exe
eMusic - 50 Free MP3 offer --> "C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe"
ffdshow --> "C:\Programme\Combined Community Codec Pack\Filters\uninstall.exe"
FlashFXP v3.02 (Build 1044) Scene Edition --> C:\WINNT\unvise32.exe C:\Programme\FlashFXP\uninstal.log
Football Manager 2007 --> D:\Fußballmanager 2007\uninstall\Uninstall FM 2007.exe
Futuremark Measurement Services Client --> RunDll32 advpack.dll,LaunchINFSection C:\WINNT\INF\msc3.inf,DefaultUninstall,5
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs --> MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 1.99.1 --> C:\Dokumente und Einstellungen\christian\Desktop\HijackThis.exe /uninstall
Hotfix für Windows XP (KB914440) --> "C:\WINNT\$NtUninstallKB914440$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 Update 11 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150110}
J2SE Runtime Environment 5.0 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150050}
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
J2SE Runtime Environment 5.0 Update 8 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150080}
J2SE Runtime Environment 5.0 Update 9 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150090}
Java 2 Runtime Environment, SE v1.4.2_02 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142020}
Jimco Flasher --> MsiExec.exe /I{DB69F9AB-4F45-485C-8E58-A72FADEFE9FD}
K-Lite Mega Codec Pack 1.39 Beta 7 --> "C:\Programme\K-Lite Codec Pack\unins000.exe"
LiveUpdate 2.7 (Symantec Corporation) --> "C:\Programme\Symantec\LiveUpdate\LSETUP.EXE" /U
Micrografx Picture Publisher 10 DCE --> MsiExec.exe /I{C9525341-51CA-4e8d-A7A5-3B0A690DB64D}
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINNT\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINNT\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Windows-Journal-Viewer --> MsiExec.exe /X{43DCF766-6838-4F9A-8C91-D92DA586DFA7}
mIRC --> "C:\Programme\Windows NT\Zubehör\Chat\mirc.exe" -uninstall
Mozilla Firefox (1.0.7) --> C:\WINNT\UninstallFirefox.exe /ua "1.0.7 (de-DE)"
MP3 Creation Pack for WinXP --> MsiExec.exe /X{BE59B914-9B32-43E5-8D2C-521D2F4B06BB}
Nero 6 Enterprise Edition --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NetSkat --> C:\WINNT\unin0407.exe -fC:\Programme\CuteSoft\NetSkat\DeIsL1.isu
NVIDIA Drivers --> C:\WINNT\system32\nvudisp.exe UninstallGUI
O&O CleverCache Professional Edition --> MsiExec.exe /I{53480250-325A-41FE-9F60-1E3DEA1D2BD8}
O&O Defrag Professional Edition --> MsiExec.exe /I{53480370-6CA2-47EC-BC05-02B4B9271C31}
Photo Loader 1.0G --> C:\WINNT\IsUn0407.exe -fC:\Programme\CASIO\Ploader\Uninst.isu
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
QIP 2005 Uninstall --> "C:\Programme\QIP\unqip.exe"
Sicherheitsupdate für Windows XP (KB883939) --> "C:\WINNT\$NtUninstallKB883939$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINNT\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINNT\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINNT\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINNT\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINNT\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINNT\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINNT\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896688) --> "C:\WINNT\$NtUninstallKB896688$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINNT\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588) --> "C:\WINNT\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINNT\$NtUninstallKB899589$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINNT\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINNT\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINNT\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINNT\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINNT\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB903235) --> "C:\WINNT\$NtUninstallKB903235$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINNT\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINNT\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINNT\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905915) --> "C:\WINNT\$NtUninstallKB905915$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINNT\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINNT\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567) --> "C:\WINNT\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINNT\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912812) --> "C:\WINNT\$NtUninstallKB912812$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINNT\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446) --> "C:\WINNT\$NtUninstallKB913446$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINNT\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINNT\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINNT\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917159) --> "C:\WINNT\$NtUninstallKB917159$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINNT\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINNT\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINNT\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINNT\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINNT\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918899) --> "C:\WINNT\$NtUninstallKB918899$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINNT\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINNT\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINNT\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINNT\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINNT\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINNT\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINNT\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINNT\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINNT\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922760) --> "C:\WINNT\$NtUninstallKB922760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINNT\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINNT\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINNT\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689) --> "C:\WINNT\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINNT\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINNT\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINNT\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINNT\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINNT\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINNT\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925454) --> "C:\WINNT\$NtUninstallKB925454$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINNT\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINNT\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINNT\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINNT\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINNT\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928090) --> "C:\WINNT\$NtUninstallKB928090$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINNT\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINNT\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sid Meier's Civilization 4 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CFBCE791-2D53-4FCE-B3FB-D6E01F4112E8}\setup.exe" -l0x7 -removeonly
SiSoftware Sandra Lite 2005.SR1 (Win64/32/CE) --> "C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\unins000.exe"
Skype 3.0 --> "C:\Programme\Skype\unins000.exe"
Skype add-on for IE --> rundll32 "C:\Programme\Skype\IEPlugin\SkypeIEPlugin.dll",FriendlyUnregisterServer 0
Skype Plugin Manager --> MsiExec.exe /I{3D5E5C0A-5B36-4F98-99A7-287F7DBDCE03}
Spybot - Search & Destroy 1.3 --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
TeamSpeak 2 RC2 --> C:\Programme\Teamspeak2_RC2\unins000.exe
Update für Windows XP (KB894391) --> "C:\WINNT\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB896727) --> "C:\WINNT\$NtUninstallKB896727$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINNT\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINNT\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942) --> "C:\WINNT\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB908531) --> "C:\WINNT\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINNT\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280) --> "C:\WINNT\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINNT\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINNT\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINNT\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINNT\$NtUninstallKB931836$\spuninst\spuninst.exe"
u‚l‚h‚k‚jEƒWƒƒƒ“ƒL[‚Rv@(c)BLUEGALE --> C:\WINNT\UINSTamp.exe -milkj3.ini
VIA Audio Driver Setup Program --> RunDll32.exe UnAudioNT.dll,UninstallAudio C:\WINNT\IsUninst.exe -f"C:\PROGRA~1\VIATEC~1\VIAAUD~1/Uninst.isu"
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows Live Messenger --> MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Media Format 11 runtime --> "C:\WINNT\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873333 --> C:\WINNT\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339 --> C:\WINNT\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINNT\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINNT\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINNT\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINNT\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINNT\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742 --> C:\WINNT\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887797 --> C:\WINNT\$NtUninstallKB887797$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINNT\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINNT\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890175 --> C:\WINNT\$NtUninstallKB890175$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINNT\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB890923 --> "C:\WINNT\$NtUninstallKB890923$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINNT\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893066 --> "C:\WINNT\$NtUninstallKB893066$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB893086 --> "C:\WINNT\$NtUninstallKB893086$\spuninst\spuninst.exe"
WinRAR --> C:\Programme\WinRAR\uninstall.exe
WinZip --> "C:\Programme\WinZip\WINZIP32.EXE" /uninstall
x264 Revision 445 x264.nl (remove only) --> "C:\Programme\x264\x264-uninstall.exe"
x264 Revision 498 x264.nl (remove only) --> "C:\Programme\x264\x264-uninstall.exe"
xp-AntiSpy 3.94-1 --> C:\Programme\xp-AntiSpy\uninst.exe
ZoneAlarm --> C:\Programme\Zone Labs\ZoneAlarm\zauninst.exe


-- End of ComboScan: finished at 2007-03-02 at 10:33:29 -------------------------


Seitenanfang Seitenende
04.03.2007, 16:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 TheIncredibl

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Server Management Services

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
http://www.avira.com/de/threats/section/fulldetails/id_vir/2904/tr_spy.bzub.dg.1.html
in: "Enter search strings" (reinschreiben oder reinkopieren)

net_insll

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows Torrent Server

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

{36DBC179-A19F-48F2-B16A-6A3E19B42A87}

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

oreans32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2007, 16:57
Member

Themenstarter

Beiträge: 28
#3 So hab das gemacht (soweit ich es verstanden hab)....mit der Formulierung: "in edit und klicke OK" konnte ich jeweils nichts anfangen.
Naja...hab zuerst nur das Windows Server Managemet Services gesucht und beim 2. mal dann den Rest auf einmal. Und warum der Link zu der Trojanerbeschreibung? Hab ich den?

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 04.03.2007 16:55:16 for strings:
; 'windows server management services'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000]
"DeviceDesc"="Windows Server Management Services"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server]
"DisplayName"="Windows Server Management Services"
"Description"="Windows Server Management Services"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000]
"DeviceDesc"="Windows Server Management Services"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Torrent Server]
"DisplayName"="Windows Server Management Services"
"Description"="Windows Server Management Services"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000]
"DeviceDesc"="Windows Server Management Services"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server]
"DisplayName"="Windows Server Management Services"
"Description"="Windows Server Management Services"

; End Of The Log...

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 04.03.2007 17:02:49 for strings:
; 'net_insll
net_insll'
; 'windows torrent server'
; '{36dbc179-a19f-48f2-b16a-6a3e19b42a87}
{36dbc179-a19f-48f2-b16a-6a3e19b42a87}
{36dbc179-a19f-48f2-b16a-6a3e19b42a87}'
; 'oreans32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
"DeviceDesc"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control]
"ActiveService"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000]
"Service"="Windows Torrent Server"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000\Control]
"ActiveService"="Windows Torrent Server"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32]
"DisplayName"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum]
"0"="Root\\LEGACY_OREANS32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
"DeviceDesc"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000]
"Service"="Windows Torrent Server"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32]
"DisplayName"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Torrent Server]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Torrent Server\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
"DeviceDesc"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control]
"ActiveService"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000]
"Service"="Windows Torrent Server"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000\Control]
"ActiveService"="Windows Torrent Server"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32]
"DisplayName"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
"0"="Root\\LEGACY_OREANS32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server\Enum]

; End Of The Log...
Dieser Beitrag wurde am 04.03.2007 um 17:13 Uhr von TheIncredibl editiert.
Seitenanfang Seitenende
04.03.2007, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

drivers to unload:
Windows Torrent Server
oreans32

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|net_insll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|worg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|cmpid
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|h
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|forwas

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Torrent Server
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32

Files to delete:
C:\WINNT\UINSTamp.exe
C:\WINNT\system32\form.txt
C:\WINNT\system32\ipv6monl.dll
C:\WINNT\winsyslog.exe
C:\WINNT\system32\drivers\oreans32.sys

««
http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

-------------

http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2007, 18:08
Member

Themenstarter

Beiträge: 28
#5 Erstmal eine Anmerkung: Hab bevor der PC durch Avenger heruntergefahren ist die Fehlermeldung regedit.exe DLL konnte nicht initialisiert werden circa 50x bekommen.

Zitat

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\wjchrccp

*******************

Script file located at: \??\C:\Program Files\sjsuubfy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver Windows Torrent Server unloaded successfully.
Driver oreans32 unloaded successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Torrent Server
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows Torrent Server deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_TORRENT_SERVER\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Torrent Server
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32 deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32 deleted successfully.
File C:\WINNT\UINSTamp.exe deleted successfully.


File C:\WINNT\system32\form.txt not found!
Deletion of file C:\WINNT\system32\form.txt failed!

Could not process line:
C:\WINNT\system32\form.txt
Status: 0xc0000034



File C:\WINNT\system32\ipv6monl.dll not found!
Deletion of file C:\WINNT\system32\ipv6monl.dll failed!

Could not process line:
C:\WINNT\system32\ipv6monl.dll
Status: 0xc0000034

File C:\WINNT\winsyslog.exe deleted successfully.
File C:\WINNT\system32\drivers\oreans32.sys deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|net_insll deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|worg deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|cmpid deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|h deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load|forwas deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} deleted successfully.


Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} not found!
Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Zitat

SDFix: Version 1.69

Run by christian - 04.03.2007 @ 18:16:22,43

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:





Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found...




ADS Check:

C:\WINNT\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ"
"C:\\WINNT\\system32\\rk.exe"="C:\\WINNT\\system32\\rk.exe:*:Enabled:rk.exe"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\sandra.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\sandra.exe:*:Enabled:SiSoftware Sandra Lite"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Lite"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcDataSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcDataSrv.exe:*:Enabled:SiSoftware Sandra Lite"
"D:\\Sid Meier's Civilization 4\\Civilization4.exe"="D:\\Sid Meier's Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Skype\\Skype.exe"="C:\\Programme\\Skype\\Skype.exe:*:Enabled:Skype"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\sandra.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\sandra.exe:*:Enabled:SiSoftware Sandra Lite"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcSandraSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Lite"
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcDataSrv.exe"="C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR1\\RpcDataSrv.exe:*:Enabled:SiSoftware Sandra Lite"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"


Remaining Files:
---------------



Checking For Files with Hidden Attributes :

C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp
C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp
C:\WINNT\system32\config\default.tmp.LOG
C:\WINNT\system32\config\software.tmp.LOG
C:\WINNT\system32\config\system.tmp.LOG

Add/Remove Programs List:

Active Desktop Calendar
Adobe Acrobat 5.0
Avira AntiVir PersonalEdition Classic
AVIcodec (remove only)
BitTorrent 5.0.6
Football Manager 2007
CleanUp!
CloneCD
CoffeeCup Free Viewer Plus
Combined Community Codec Pack 2006-03-06 (Remove Only)
Creative Video Blaster WebCam 3 USB/WebCam Plus Driver
DivX ;-) Audio Compressor 4.02
EditPlus 2
eMusic - 50 Free MP3 offer
ffdshow
FlashFXP v3.02 (Build 1044) Scene Edition
HijackThis 1.99.1
Microsoft Internationalized Domain Names Mitigation APIs
Windows Internet Explorer 7
K-Lite Mega Codec Pack 1.39 Beta 7
LiveUpdate 2.7 (Symantec Corporation)
Futuremark Measurement Services Client
Microsoft .NET Framework 1.1
mIRC
Mozilla Firefox (1.0.7)
Microsoft Compression Client Pack 1.0 for Windows XP
Nero 6 Enterprise Edition
NetSkat
Microsoft National Language Support Downlevel APIs
NVIDIA Drivers
Photo Loader 1.0G
QIP 2005 Uninstall
Die Siedler II - Die n„chste Generation
Adobe Flash Player 9 ActiveX
SiSoftware Sandra Lite 2005.SR1 (Win64/32/CE)
Skype 3.0
Spybot - Search & Destroy 1.3
TeamSpeak 2 RC2
Skype add-on for IE
VIA Audio Driver Setup Program
Winamp (remove only)
WinRAR
WinZip
Microsoft User-Mode Driver Framework Feature Pack 1.0
x264 Revision 445 x264.nl (remove only)
x264 Revision 498 x264.nl (remove only)
xp-AntiSpy 3.94-1
ZoneAlarm
Ahead Nero Burning Rom PlugIn Pack 2.0.2 by MadHacker2k4
Windows Live Messenger
J2SE Runtime Environment 5.0 Update 5
J2SE Runtime Environment 5.0 Update 6
J2SE Runtime Environment 5.0 Update 8
J2SE Runtime Environment 5.0 Update 9
J2SE Runtime Environment 5.0 Update 11
Skype Plugin Manager
Sid Meier's Civilization 4
Microsoft Windows-Journal-Viewer
O&O CleverCache Professional Edition
O&O Defrag Professional Edition
Windows Genuine Advantage v1.3.0254.0
PowerDVD
Java 2 Runtime Environment, SE v1.4.2_02
Microsoft Office Professional Edition 2003
CDRWIN 5
Adobe Reader 8 - Deutsch
ACDSee 5.0 Standard
MP3 Creation Pack for WinXP
Micrografx Picture Publisher 10 DCE
Microsoft .NET Framework 1.1
Sid Meier's Civilization 4
Jimco Flasher
Microsoft .NET Framework 1.1 German Language Pack
ECHO ist ausgeschaltet (OFF).
HighMAT-Erweiterung fr den Microsoft Windows XP-Assistenten zum Schreiben von CDs
?u'l'h'k'j?EŸWŸŸŸ"ŸL?['R?v?@(c)BLUEGALE

Finished
Dieser Beitrag wurde am 04.03.2007 um 18:30 Uhr von TheIncredibl editiert.
Seitenanfang Seitenende
04.03.2007, 18:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««
deinstalliere das:

Add/Remove Programs List:
?u'l'h'k'j?EŸWŸŸŸ"ŸL?['R?v?@(c)BLUEGALE

»»
loesche, falls du es findest:
C:\WINNT\system32\rk.exe

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report

»»
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2007, 19:01
Member

Themenstarter

Beiträge: 28
#7 BLUEGALE kann ich nicht deinstallieren (Kann nicht gefunden werden. Rückfrage ob ich es aus der Programmliste entfernen möchte hab ich erstmal verneint)

die rk.exe kann ich nicht finden

Der Sophos-Scan ist noch immer am laufen. Zwischenstand: Sieht schlimm aus. Ziemlich viele "Dateien die nicht geöffnet werden können" in C:\System Volume Information\_restore (...) \A00 (...).exe". Da sich danach jedes Mal mein Antivir meldete hab ich alles in Quarantäne verschoben

Zitat

Sophos Anti-Virus
Version 4.15.0 [Win32/Intel]
Virus data version 4.15, March 2007
Includes detection for 224186 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 18:32:48, System date 04 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Could not open C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\46D81B05.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0015956.dll
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0015957.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0015958.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0015959.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0015960.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016034.bat
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016035.bat
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016036.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016037.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016143.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016144.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016363.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016364.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016399.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016400.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016408.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016409.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016413.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016414.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016415.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016416.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016417.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016434.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016436.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016452.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP51\A0016453.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0017720.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018720.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018721.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018722.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018723.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018724.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018725.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018726.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018727.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018728.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018729.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018730.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018731.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018732.EXE
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018733.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018734.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018735.EXE
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018736.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018737.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018738.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018739.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018740.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018742.dll
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018743.exe
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018744.dll
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP55\A0019877.bat
Could not open C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP55\A0020133.exe
Could not open C:\WINNT\system32\drivers\atapi.sys
Could not open C:\WINNT\system32\drivers\dtscsi.sys
Could not open C:\WINNT\system32\drivers\sptd.sys
Could not open C:\WINNT\system32\drivers\sptd6765.sys
Could not open D:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP52\A0018745.exe

3 boot sectors swept.
19520 files swept in 31 minutes and 6 seconds.
59 errors were encountered.
No viruses were discovered.
Ending Sophos Anti-Virus.
Dieser Beitrag wurde am 04.03.2007 um 19:05 Uhr von TheIncredibl editiert.
Seitenanfang Seitenende
04.03.2007, 19:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
http://virus-protect.org/artikel/tools/sdfix.html
scann mit a-squared

1 : es wird a-squared geladen
3. full scan (heuristic/riskware scanning enabled) - scanne
4. save quarantine list - poste den report

»»
dann aktivere wieder die systemwiederherstellung
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.03.2007, 20:40
Member

Themenstarter

Beiträge: 28
#9

Zitat

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 4. März 2007 20:37:14
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 4/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 260212
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 55412
Viren gefunden: 5
Infizierte Objekte gefunden: 8 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:56:47

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\10EB5984.zip/a.class Infizierte Objekte: Trojan.Java.ClassLoader.b übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\10EB5984.zip/Dummy.class Infizierte Objekte: Trojan.Java.ClassLoader.Dummy.a übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\10EB5984.zip/VerifierBug.class Infizierte Objekte: Trojan.Java.ClassLoader.u übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\10EB5984.zip ZIP: infiziert - 3 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\10EB5984.zip CryptFF: infiziert - 3 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\10EE0380.cla Infizierte Objekte: Trojan.Java.ClassLoader.b übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\495E0DD7.tmp Infizierte Objekte: Email-Worm.Win32.Bagle.bo übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\683E62E1.tmp Infizierte Objekte: Net-Worm.Win32.Mytob.c übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\call256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\callmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\chat512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\chatmember256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\chatmsg256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\chatmsg512.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\contactgroup1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\contactgroup256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\dyncontent\bundle.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\index2.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\profile256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\user1024.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\user16384.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\user256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\user4096.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Anwendungsdaten\Skype\theincredible1984\voicemail256.dbb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\son-derling@gmx.de\SharingMetadata\Logs\Dfsr00005.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\son-derling@gmx.de\SharingMetadata\pending.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\son-derling@gmx.de\SharingMetadata\Working\database_EEC4_D193_C4D1_5F01\dfsr.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\son-derling@gmx.de\SharingMetadata\Working\database_EEC4_D193_C4D1_5F01\fsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\son-derling@gmx.de\SharingMetadata\Working\database_EEC4_D193_C4D1_5F01\fsrtmp.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\son-derling@gmx.de\SharingMetadata\Working\database_EEC4_D193_C4D1_5F01\tmp.edb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Live Contacts\son-derling@gmx.de\real\members.stg Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Anwendungsdaten\XemiComputers\Active Desktop Calendar\ADC Errors Log.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Temp\~DF2A27.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Temp\~DFAE03.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Temp\~DFAEDF.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007030420070305\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\christian\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\History\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{B35351D4-6732-4E99-A618-839D99D0C758}\RP55\change.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\Internet Logs\CHRISTIAN-PRIV.ldb Das Objekt ist gesperrt übersprungen
C:\WINNT\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINNT\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\drivers\atapi.sys Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\drivers\sptd6765.sys Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\Temp\Perflib_Perfdata_144.dat Das Objekt ist gesperrt übersprungen
C:\WINNT\Temp\ZLT01a89.TMP Das Objekt ist gesperrt übersprungen
C:\WINNT\Temp\ZLT01a8c.TMP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Zitat

a-squared Command Line Scanner v. 2.0.0.103
(c) 2006 Emsi Software GmbH - www.emsisoft.com

ID Object
0 C:\Dokumente und Einstellungen\christian\Cookies\christian@as1.falkag[2].txt detected: Trace.TrackingCookie
1 C:\Dokumente und Einstellungen\christian\Cookies\christian@tradedoubler[3].txt detected: Trace.TrackingCookie
2 C:\Dokumente und Einstellungen\christian\Cookies\christian@2o7[2].txt detected: Trace.TrackingCookie
3 C:\WINNT\system32\helper.dll detected: Trace.File.PrecisionPop
4 C:\Dokumente und Einstellungen\christian\Cookies\christian@adtech[3].txt detected: Trace.TrackingCookie
5 C:\Dokumente und Einstellungen\christian\Cookies\christian@media.starforge-studios[1].txt detected: Trace.TrackingCookie
6 C:\Dokumente und Einstellungen\christian\Cookies\christian@adtech[2].txt detected: Trace.TrackingCookie
7 C:\Dokumente und Einstellungen\christian\Cookies\christian@adserv.main-network[1].txt detected: Trace.TrackingCookie
8 C:\Dokumente und Einstellungen\christian\Cookies\christian@mediavantage[1].txt detected: Trace.TrackingCookie
9 C:\Dokumente und Einstellungen\christian\Cookies\christian@tradedoubler[1].txt detected: Trace.TrackingCookie
10 C:\Dokumente und Einstellungen\christian\Cookies\christian@tripod.lycos[1].txt detected: Trace.TrackingCookie
11 C:\Dokumente und Einstellungen\christian\Cookies\christian@indextools[2].txt detected: Trace.TrackingCookie
12 C:\Dokumente und Einstellungen\christian\Cookies\christian@as1.falkag[1].txt detected: Trace.TrackingCookie
13 C:\Dokumente und Einstellungen\christian\Cookies\christian@adserv.main-network[2].txt detected: Trace.TrackingCookie
14 C:\Dokumente und Einstellungen\christian\Cookies\christian@mediavantage[2].txt detected: Trace.TrackingCookie
15 C:\Dokumente und Einstellungen\christian\Cookies\christian@adserver.easyad[3].txt detected: Trace.TrackingCookie
16 C:\Dokumente und Einstellungen\christian\Cookies\christian@adserver.easyad[2].txt detected: Trace.TrackingCookie
17 C:\Dokumente und Einstellungen\christian\Cookies\christian@media.funpic[3].txt detected: Trace.TrackingCookie
18 C:\Dokumente und Einstellungen\christian\Cookies\christian@zedo[2].txt detected: Trace.TrackingCookie
19 C:\Dokumente und Einstellungen\christian\Cookies\christian@media.funpic[2].txt detected: Trace.TrackingCookie
Dieser Beitrag wurde am 04.03.2007 um 21:55 Uhr von TheIncredibl editiert.
Seitenanfang Seitenende
05.03.2007, 13:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 es muesste wieder alles i.o. sein.
scanne mit deinem Antivirus im abgesicherten modus und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2007, 19:42
Member

Themenstarter

Beiträge: 28
#11 Wie werde ich denn die Reste von Norton (Viren in der Quarantäne) jetzt nach der Deinstallation los?

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 6. März 2007 16:19

Es wird nach 691045 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: christian
Computername: CHRISTIAN-PRIV

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 01.03.2007 22:06:14
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 22:06:16
ANTIVIR2.VDF : 6.37.1.182 86528 Bytes 01.03.2007 22:06:16
ANTIVIR3.VDF : 6.37.1.200 46080 Bytes 05.03.2007 22:04:19
AVEWIN32.DLL : 7.3.1.38 2322944 Bytes 01.03.2007 22:06:17
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.37.1.100 1142824 Bytes 01.03.2007 22:06:16
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31
AVREG.DLL : 7.0.1.2 30760 Bytes 01.03.2007 22:06:14
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: H:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Dienstag, 6. März 2007 16:19

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'savedump.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 28 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\Incoming\AP0.av$
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.BR.3
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461d87e5.qua' verschoben!
C:\WINNT\system32\drivers\atapi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINNT\system32\drivers\sptd6765.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Spiele>
Beginne mit der Suche in 'E:\' <Daten>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'G:\'
Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Dienstag, 6. März 2007 17:15
Benötigte Zeit: 55:38 min

Der Suchlauf wurde vollständig durchgeführt.

4441 Verzeichnisse wurden überprüft
210860 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
5 Dateien konnten nicht durchsucht werden
210859 Dateien ohne Befall
914 Archive wurden durchsucht
5 Warnungen
0 Hinweise

Seitenanfang Seitenende
06.03.2007, 23:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Wie werde ich denn die Reste von Norton (Viren in der Quarantäne) jetzt nach der Deinstallation los?

Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2007, 23:45
Member

Themenstarter

Beiträge: 28
#13 dann bedanke ich mich nochmal für deine Hilfe!
Seitenanfang Seitenende