Win32.TrojanDownloader.Agent.am

#1 Hallo,


meine Kontrollsoftware (Avast, Ad-Aware und Spybot) spürt immer wieder oben genannten Trojaner auf und gibt vor, diesen zu löschen. Taucht aber immer wieder auf. Was tun?

Zudem ist der Rechner ziemlich langsam und macht Probleme beim Booten. Weiß nicht, ob es ein Hardware-Problem ist oder aus dem Trojaner resultiert? Wie dem auch sei, der Trojaner soll weg.

Könnt ihr helfen?

Gruß, Moc
__________
Dieser Satz kein Verb.

#2 arbeite das bitte ab und poste die logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Logfile of HijackThis v1.99.1
Scan saved at 23:05:31, on 06.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Anti-Virus\Avast4\aswUpdSv.exe
C:\Programme\Anti-Virus\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\ANTI-V~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Anti-Virus\Avast4\ashMaiSv.exe
C:\Programme\Anti-Virus\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\sandra.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [winexes] C:\WINDOWS\winexes.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [winexes] C:\WINDOWS\winexes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.lexware.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 62.220.18.8 62.72.64.237
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Anti-Virus\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Anti-Virus\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Anti-Virus\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Anti-Virus\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe







ComboScan v20070226.18 run by Administrator on 2007-03-06 at 23:18:33
Computer is in Normal Mode.
--------------------------------------------------------------------------------

System Restore was disabled; re-enabling.
Failed to create restore point: System Restore is disabled (service is not running).
Performed disk cleanup.


-- HijackThis (run as Administrator.exe) ----------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 23:20:25, on 06.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Anti-Virus\Avast4\aswUpdSv.exe
C:\Programme\Anti-Virus\Avast4\ashServ.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Anti-Virus\Avast4\ashMaiSv.exe
C:\Programme\Anti-Virus\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\ANTI-V~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\comboscan.exe
C:\PROGRA~1\HIJACK~1\Administrator.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ANTI-V~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [winexes] C:\WINDOWS\winexes.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [winexes] C:\WINDOWS\winexes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.lexware.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D05AAAE-6738-46DD-9023-29B94D8D82FD}: NameServer = 62.220.18.8 62.72.64.237
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Anti-Virus\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Anti-Virus\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Anti-Virus\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Anti-Virus\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


-- File Associations ------------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ----------------------

1R Aavmker4 (avast! Asynchronous Virus Monitor) - C:\WINDOWS\system32\drivers\aavmker4.sys
2S AHVKLMMG - C:\WINDOWS\System32\ahvklmmg.vkm (not found)
1R AmdK7 (AMD K7-Prozessortreiber) - C:\WINDOWS\system32\drivers\amdk7.sys
3R AnyDVD - C:\WINDOWS\system32\drivers\AnyDVD.sys
2R Aspi32 - C:\WINDOWS\system32\drivers\ASPI32.SYS
2R aswMon2 (avast! Standard Shield Support) - C:\WINDOWS\system32\drivers\aswmon2.sys
3R aswRdr - C:\WINDOWS\system32\drivers\aswRdr.sys
1R aswTdi (avast! Network Shield Support) - C:\WINDOWS\system32\drivers\aswTdi.sys
3R BlueletAudio (Bluetooth Audio Service) - C:\WINDOWS\system32\drivers\blueletaudio.sys
3S BT (Bluetooth PAN Network Adapter) - C:\WINDOWS\system32\drivers\BtNetDrv.sys
3S Btcsrusb (Bluetooth USB For Bluetooth Service) - C:\WINDOWS\system32\drivers\btcusb.sys
3R BTHidEnum (Bluetooth HID Enumerator) - C:\WINDOWS\system32\drivers\vbtenum.sys
0R BTHidMgr (Bluetooth HID Manager Service) - C:\WINDOWS\system32\drivers\BTHidMgr.sys
3S CCDECODE (Untertiteldecoder) - C:\WINDOWS\system32\drivers\ccdecode.sys
3R cmuda (C-Media WDM Audio Interface) - C:\WINDOWS\system32\drivers\cmuda.sys
3S dtscsi - C:\WINDOWS\system32\drivers\dtscsi.sys
2R ElbyCDIO (ElbyCDIO Driver) - C:\WINDOWS\system32\drivers\ElbyCDIO.sys
3S hidusb (Microsoft HID Class-Treiber) - C:\WINDOWS\system32\drivers\hidusb.sys
3S MaRdPnp - C:\WINDOWS\system32\drivers\MaRdP2K.sys
2R MaVctrl - C:\WINDOWS\system32\drivers\MaVc2K.sys
3S mouhid (Maus-HID-Treiber) - C:\WINDOWS\system32\drivers\mouhid.sys
3S MSTEE (Microsoft Streaming Tee/Sink-to-Sink-Konvertierung) - C:\WINDOWS\system32\drivers\mstee.sys
3S NABTSFEC (NABTS/FEC VBI-Codec) - C:\WINDOWS\system32\drivers\nabtsfec.sys
3S NdisIP (Microsoft TV-/Videoverbindung) - C:\WINDOWS\system32\drivers\ndisip.sys
3R nv - C:\WINDOWS\system32\drivers\nv4_mini.sys
1R oreans32 - C:\WINDOWS\system32\drivers\oreans32.sys
3R pcouffin (VSO Software pcouffin) - C:\WINDOWS\system32\drivers\pcouffin.sys
3R pfc (Padus ASPI Shell) - C:\WINDOWS\system32\drivers\pfc.sys
3R Point32 (Microsoft IntelliPoint Filter Driver) - C:\WINDOWS\system32\drivers\point32.sys
0R PxHelp20 - C:\WINDOWS\system32\drivers\pxhelp20.sys
3R ROOTMODEM (Microsoft Legacy Modem Driver) - C:\WINDOWS\system32\drivers\rootmdm.sys
3S RT73 (RT73 USB Wireless LAN Card Driver) - C:\WINDOWS\system32\DRIVERS\rt73.sys (not found)
3R rtl8139 (NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter) - C:\WINDOWS\system32\drivers\rtl8139.sys
3R SANDRA - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\sandra.sys
3S Ser2pl (Prolific Serial port driver) - C:\WINDOWS\system32\drivers\ser2pl.sys
0R SISAGP (SiS AGP Filter) - C:\WINDOWS\system32\drivers\SISAGPX.SYS
3S SISNIC (SiS-PCI-Fast Ethernet- Adaptertreiber) - C:\WINDOWS\system32\drivers\sisnic.sys
3S SLIP (BDA Slip De-Framer) - C:\WINDOWS\system32\drivers\slip.sys
0R sptd - C:\WINDOWS\system32\drivers\sptd.sys
0R srescan - C:\WINDOWS\system32\ZoneLabs\srescan.sys
3S streamip (BDA-IPSink) - C:\WINDOWS\system32\drivers\streamip.sys
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\system32\drivers\usbehci.sys
3R usbohci (Miniporttreiber für Microsoft USB Open Host-Controller) - C:\WINDOWS\system32\drivers\usbohci.sys
3S usbprint (Microsoft USB-Druckerklasse) - C:\WINDOWS\system32\drivers\usbprint.sys
3S usbscan (USB-Scannertreiber) - C:\WINDOWS\system32\drivers\usbscan.sys
3S USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\usbstor.sys
3S vaxscsi - C:\WINDOWS\system32\drivers\vaxscsi.sys
3R VComm (Virtual Serial port driver) - C:\WINDOWS\system32\drivers\VComm.sys
3R VcommMgr (Bluetooth VComm Manager Service) - C:\WINDOWS\system32\drivers\VcommMgr.sys
1R vsdatant - C:\WINDOWS\system32\vsdatant.sys
3S wanatw (WAN Miniport (ATW)) - C:\WINDOWS\system32\DRIVERS\wanatw4.sys (not found)
1R WS2IFSL (Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung) - C:\WINDOWS\system32\drivers\ws2ifsl.sys
3S WSTCODEC (World Standard Teletext-Codec) - C:\WINDOWS\system32\drivers\wstcodec.sys


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

3S aspnet_state (ASP.NET-Statusdienst) - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
2R aswUpdSv (avast! iAVS4 Control Service) - "C:\Programme\Anti-Virus\Avast4\aswUpdSv.exe"
2R avast! Antivirus - "C:\Programme\Anti-Virus\Avast4\ashServ.exe"
3R avast! Mail Scanner - "C:\Programme\Anti-Virus\Avast4\ashMaiSv.exe" /service
3R avast! Web Scanner - "C:\Programme\Anti-Virus\Avast4\ashWebSv.exe" /service
2R BlueSoleil Hid Service - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
4S NBService - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
2R NVSvc (NVIDIA Driver Helper Service) - C:\WINDOWS\System32\nvsvc32.exe
2R RichVideo (Cyberlink RichVideo Service(CRVS)) - "C:\Programme\CyberLink\Shared files\RichVideo.exe"
3S SandraDataSrv (SiSoftware Database Agent Service) - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
3R SandraTheSrv (SiSoftware Sandra Agent Service) - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
3S TUWinStylerThemeSvc (TuneUp WinStyler Theme Service) - "C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe"
2R UMWdf (Windows User Mode Driver Framework) - C:\WINDOWS\System32\wdfmgr.exe
2R vsmon (TrueVector Internet Monitor) - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service


-- Files created between 2007-02-06 and 2007-03-06 ------------------------------

2007-03-06 23:20:19 0 d-------- C:\Programme\HijackThis<HIJACK~1>
2007-03-06 17:14:54 0 d-------- C:\Programme\SiSoftware<SISOFT~1>
2007-03-04 22:47:32 28160 -----n--- C:\WINDOWS\system32\msxml3a.dll
2007-03-04 22:47:32 0 d-------- C:\Programme\letstrade<LETSTR~1>
2007-03-04 22:46:58 0 d-------- C:\Programme\Buhl
2007-03-04 22:08:32 0 d-------- C:\Programme\Registry
2007-03-04 21:23:15 0 d-------- C:\Programme\Lexware
2007-03-04 20:41:27 0 d-------- C:\Programme\WISO
2007-03-04 20:41:27 0 d-------- C:\Programme\Gemeinsame Dateien\Buhl Data Service<BUHLDA~1>
2007-02-11 16:44:36 0 d-------- C:\Programme\Registry System Wizard<REGIST~2>
2007-02-11 10:45:50 0 d--hs---- C:\WINDOWS\ftpcache


-- Find3M Report ----------------------------------------------------------------

2007-03-06 23:11:49 51733 --a------ C:\WINDOWS\plugin1.dat
2007-03-06 23:10:34 0 d-------- C:\Programme\Registry Mechanic2<REGIST~1>
2007-03-06 23:10:29 0 d-------- C:\Programme\Mozilla Thunderbird<MOZILL~2>
2007-03-06 23:10:29 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1>
2007-03-06 23:10:11 0 d-------- C:\Programme\ConvertXtoDVD<CONVER~1>
2007-03-06 23:09:59 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FrostWire<FROSTW~1>
2007-03-06 23:01:43 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org2<OPENOF~1.ORG>
2007-03-06 22:15:12 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\uTorrent
2007-03-04 23:20:26 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DataDesign<DATADE~1>
2007-03-04 22:47:25 632320 --a------ C:\WINDOWS\fpuninst.exe
2007-03-04 22:47:08 0 d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared<MICROS~1>
2007-03-04 21:38:49 0 d-------- C:\Programme\Gemeinsame Dateien\Lexware
2007-03-04 21:37:34 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-03-04 20:41:27 0 d-------- C:\Programme\Gemeinsame Dateien<GEMEIN~1>
2007-02-11 16:16:16 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2007-02-11 16:16:06 0 d-------- C:\Programme\Lavasoft
2007-02-02 00:48:19 0 d-------- C:\Programme\Hattrick Organizer<HATTRI~1>
2007-01-31 20:37:51 0 d-------- C:\Programme\Hattrick Control<HATTRI~3>
2007-01-29 09:58:06 60416 -----n--- C:\WINDOWS\system32\tzchange.exe
2007-01-15 18:32:07 689280 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-01-15 18:23:20 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-01-07 22:31:13 0 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vso
2006-12-28 21:05:53 34 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.log
2006-12-28 21:05:45 47360 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
2006-12-28 21:05:45 1144 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.inf
2006-12-28 21:05:45 7176 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.cat
2006-12-28 21:05:45 81920 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ezpinst.exe
2006-12-28 20:51:06 108544 -----n--- C:\WINDOWS\system32\pxcpyi64.exe
2006-12-28 20:51:05 10752 -----n--- C:\WINDOWS\system32\pxwma.dll
2006-12-19 22:49:41 135168 --a------ C:\WINDOWS\system32\shsvcs.dll
2006-12-19 19:17:03 334336 --a------ C:\WINDOWS\system32\wiaservc.dll
2006-12-13 21:24:42 89296 --a------ C:\WINDOWS\system32\ElbyCDIO.dll
2006-12-07 06:29:34 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll


-- Registry Dump ----------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"winexes"="C:\\WINDOWS\\winexes.exe"
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"HTpatch"="C:\\WINDOWS\\htpatch.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"nwiz"="nwiz.exe /install"
"avast!"="C:\\PROGRA~1\\ANTI-V~1\\Avast4\\ashDisp.exe"
"winexes"="C:\\WINDOWS\\winexes.exe"
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"NvCplDaemon"="RUNDLL32.EXE NvQTwk,NvCplDaemon initialize"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"RegistryMechanic"=""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^ClearProg.lnk]
"backup"="C:\\WINDOWS\\pss\\ClearProg.lnkStartup"
"location"="Startup"
"item"="ClearProg"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
"backup"="C:\\WINDOWS\\pss\\OpenOffice.org 2.0.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\OPENOF~1.0\\program\\QUICKS~1.EXE "
"item"="OpenOffice.org 2.0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Quick Start.lnk]
"backup"="C:\\WINDOWS\\pss\\Quick Start.lnkStartup"
"location"="Startup"
"item"="Quick Start"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Administrator^Startmenü^Programme^Autostart^Sueddeutsche.lnk]
"backup"="C:\\WINDOWS\\pss\\Sueddeutsche.lnkStartup"
"location"="Startup"
"item"="Sueddeutsche"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader Speed Launch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
"backup"="C:\\WINDOWS\\pss\\BlueSoleil.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\IVTCOR~1\\BLUESO~1\\BLUESO~1.EXE "
"item"="BlueSoleil"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Hama Wireless LAN Utility.lnk]
"backup"="C:\\WINDOWS\\pss\\Hama Wireless LAN Utility.lnkCommon Startup"
"location"="Common Startup"
"item"="Hama Wireless LAN Utility"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Arcor Online]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Babylon"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BayReminder]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bayreminder"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BGNewsAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BgNewsUI"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BullGuard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bullguard"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CCleaner]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CCleaner"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cnftips]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bhoserv"
"hkey"="HKLM"
"command"="bhoserv.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlPanel]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="popcorn72"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DataLayer"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLKPT]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="XTermInit"
"hkey"="HKCU"
"command"="XTermInit.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAVPersonal50]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kav"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Language"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\Language\\Language.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsNetHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SysSupport"
"hkey"="HKLM"
"command"="SysSupport.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LaunchApplication"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PcSync2"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sueddeutsche]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sueddeutsche"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\teqq32]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Preliminary"
"hkey"="HKCU"
"command"="Preliminary.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WareOut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WareOut"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Save"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NBService"=dword:00000003


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoSaveSettings"=dword:00000000
"NoDesktop"=dword:00000000
"NoViewContextMenu"=dword:00000000
"NoInternetIcon"=dword:00000000
"NoDesktopUpdate"=dword:00000000

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001
"NoSaveSettings"=dword:00000000
"NoDesktop"=dword:00000000
"NoViewContextMenu"=dword:00000000
"NoInternetIcon"=dword:00000000
"NoDesktopUpdate"=dword:00000000
"NoLowDiskSpaceChecks"=dword:00000001
"NoActiveDesktop"=dword:00000000
"NoActiveDesktopChanges"=dword:00000000
"NoSharedDocuments"=hex:00,00,00,00
"GreyMSIAds"=dword:00000001

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{14758c0e-311b-11db-ba4f-101111111111}]
Shell\AutoRun\command H:\LaunchU3.exe
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_WINIO


-- End of ComboScan: finished at 2007-03-06 at 23:21:11 -------------------------

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\system32

06.03.2007 22:26 2.206 wpa.dbl
06.03.2007 22:18 54.113 vsconfig.xml
04.03.2007 22:53 175.464 FNTCACHE.DAT
04.03.2007 22:12 14.848 BASSMOD.dll
20.02.2007 00:02 122.142 TZLog.log
07.02.2007 23:01 12.293.536 MRT.exe
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 13:52 617.472 urlmon.dll
23.01.2007 20:30 546.304 hhctrl.ocx
18.01.2007 13:54 3.002 CONFIG.NT
15.01.2007 18:32 689.280 aswBoot.exe
15.01.2007 18:23 90.112 AVASTSS.scr
04.01.2007 14:41 664.576 wininet.dll
04.01.2007 14:41 474.624 shlwapi.dll
04.01.2007 14:41 1.494.528 shdocvw.dll
04.01.2007 14:41 39.424 pngfilt.dll
04.01.2007 14:41 532.480 mstime.dll
04.01.2007 14:40 146.432 msrating.dll
04.01.2007 14:40 448.512 mshtmled.dll
04.01.2007 14:40 3.077.632 mshtml.dll
04.01.2007 14:40 96.768 inseng.dll
04.01.2007 14:40 16.384 jsproxy.dll
04.01.2007 14:40 251.392 iepeers.dll
04.01.2007 14:40 357.888 dxtmsft.dll
04.01.2007 14:40 205.312 dxtrans.dll
04.01.2007 14:40 1.056.256 danim.dll
04.01.2007 14:40 55.808 extmgr.dll
04.01.2007 14:40 152.064 cdfview.dll
04.01.2007 14:40 1.023.488 browseui.dll
04.01.2007 12:52 123.392 xpsp3res.dll
28.12.2006 20:51 108.544 pxcpyi64.exe
28.12.2006 20:51 10.752 pxwma.dll
19.12.2006 22:49 135.168 shsvcs.dll
19.12.2006 22:49 8.494.592 shell32.dll
19.12.2006 19:17 334.336 wiaservc.dll
15.12.2006 13:33 226.832 DDBACCTM.CPL
15.12.2006 13:33 808.464 DDBACCPL.CPL
13.12.2006 21:24 89.296 ElbyCDIO.dll
07.12.2006 06:29 2.374.472 wmvcore.dll

Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS

06.03.2007 23:11 51.733 plugin1.dat
06.03.2007 23:06 1.116.141 SysPr.prx
06.03.2007 22:27 306 QTW.ini
06.03.2007 22:18 50 wiaservc.log
06.03.2007 22:18 159 wiadebug.log
06.03.2007 22:18 0 0.log
06.03.2007 22:17 1.628.656 WindowsUpdate.log
06.03.2007 22:16 2.048 bootstat.dat
06.03.2007 16:56 7.168 Thumbs.db
06.03.2007 02:58 32.600 SchedLgU.Txt
06.03.2007 01:13 6.104 ModemLog_Bluetooth DUN Modem.txt
06.03.2007 01:13 6.098 ModemLog_Bluetooth Fax Modem.txt
04.03.2007 22:47 187 WISO.INI
04.03.2007 22:47 632.320 fpuninst.exe
04.03.2007 21:32 943 QUICKEN.INI
04.03.2007 21:21 52 Intuprof.ini
04.03.2007 21:12 40.706 fpuninstall.log
04.03.2007 20:42 420.935 setupapi.log
28.02.2007 20:53 6.045 WgaNotify.log
27.02.2007 13:42 527 win.ini
27.02.2007 13:42 227 system.ini
20.02.2007 00:03 700.544 iis6.log
20.02.2007 00:03 205.277 comsetup.log
20.02.2007 00:03 129.351 ntdtcsetup.log
20.02.2007 00:03 293.509 tsoc.log
20.02.2007 00:03 1.374 imsins.log
20.02.2007 00:03 35.068 ocmsn.log
20.02.2007 00:03 31.256 tabletoc.log
20.02.2007 00:03 19.588 KB927779.log
20.02.2007 00:03 110.704 netfxocm.log
20.02.2007 00:03 45.611 medctroc.Log
20.02.2007 00:03 317.750 ocgen.log
20.02.2007 00:03 32.060 msgsocm.log
20.02.2007 00:03 622.983 FaxSetup.log
20.02.2007 00:03 198.716 msmqinst.log
20.02.2007 00:03 37.067 updspapi.log
20.02.2007 00:03 1.374 imsins.BAK
20.02.2007 00:03 16.281 KB927802.log
20.02.2007 00:03 16.868 KB928255.log
20.02.2007 00:03 13.350 KB924667.log
20.02.2007 00:02 25.886 KB931836.log
20.02.2007 00:02 15.293 KB926436.log
20.02.2007 00:02 15.860 KB918118.log
20.02.2007 00:01 18.884 KB928090.log
20.02.2007 00:00 11.809 KB928843.log
11.02.2007 16:48 54.156 QTFont.qfn
11.02.2007 15:45 69 NeroDigital.ini
31.01.2007 22:09 14.024 wmsetup.log
20.01.2007 11:07 1.409 QTFont.for
18.01.2007 16:39 240 setupact.log
13.01.2007 00:01 10.597 KB929969.log
04.01.2007 21:21 79 winamp.ini
15.12.2006 15:48 18.362 KB925454.log
15.12.2006 15:48 10.232 KB925398.log
15.12.2006 15:48 11.312 KB923689.log
15.12.2006 15:47 11.215 KB926255.log
15.12.2006 15:47 11.057 KB923694.log
07.12.2006 00:01 15.592 KB923980.log
07.12.2006 00:01 15.417 KB924270.log
07.12.2006 00:01 15.159 KB920213.log
07.12.2006 00:00 17.733 KB922760.log










Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\Temp

06.03.2007 22:20 0 JET9F3F.tmp
06.03.2007 22:17 256 ZLT06b92.TMP
06.03.2007 22:17 256 ZLT06b6a.TMP
26.02.2007 18:07 16.384 Perflib_Perfdata_480.dat
4 Datei(en) 16.896 Bytes
0 Verzeichnis(se), 6.273.175.552 Bytes frei








Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

18.03.2004 13:08 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
3 Datei(en) 1.924 Bytes
0 Verzeichnis(se), 6.273.171.456 Bytes frei









Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\

06.03.2007 23:28 0 sys.txt
06.03.2007 23:27 438 down.txt
06.03.2007 23:26 439 tmp.txt
06.03.2007 23:25 13.560 system.txt
06.03.2007 23:25 137 systemtemp.txt
06.03.2007 23:23 111.414 system32.txt
06.03.2007 22:16 536.399.872 hiberfil.sys
06.03.2007 22:16 367.001.600 pagefile.sys
04.03.2007 21:33 1.691 mwmlog.txt
27.02.2007 13:42 211 boot.ini
04.01.2006 23:39 47.564 NTDETECT.COM
04.01.2006 23:39 251.184 ntldr
02.01.2006 00:27 0 IO.SYS
02.01.2006 00:27 0 MSDOS.SYS
18.08.2001 20:00 4.952 bootfont.bin
15 Datei(en) 903.833.062 Bytes
0 Verzeichnis(se), 6.273.167.360 Bytes frei





Mein Ad-Aware-Scan hat folgende Quellen der Trojaner herausgespuckt:


Win32.TrojanDownloader.Agent.am Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\active setup\installed components\{9b71d88c-c598-4935-c5d1-43aa4db90836}








Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.TrojanDownloader.Agent.am Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\wget

Win32.TrojanDownloader.Agent.am Object Recognized!
Type : RegValue
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_CURRENT_USER
Object : software\wget
Value : plg1

Win32.TrojanDownloader.Agent.am Object Recognized!
Type : Regkey
Data :
TAC Rating : 10
Category : Malware
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\wget

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 3
Objects found so far: 15

23:33:00 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:02:02.968
Objects scanned:94296
Objects identified:4
Objects ignored:0
New critical objects:4







Ich hoffe, du hast alle notwendigen Infos.


Gruß, Moc
__________
Dieser Satz kein Verb.

#4 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Desktop

06.03.2007 17:15 <DIR> .
06.03.2007 17:15 <DIR> ..
11.02.2007 16:16 835 Ad-Aware SE Personal.lnk
04.03.2007 22:47 797 Belegschnellerfassung.lnk
04.03.2007 22:47 720 Mein Geld.lnk
21.12.2006 16:59 1.580 Mozilla Firefox.lnk
04.03.2007 22:08 661 Registry Mechanic.lnk
06.03.2007 17:15 990 SiSoftware Sandra Lite XI.SP1.lnk
6 Datei(en) 5.583 Bytes
2 Verzeichnis(se), 6.267.629.568 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop

08.03.2007 20:58 <DIR> .
08.03.2007 20:58 <DIR> ..
06.03.2007 23:07 339.257 CleanUp452.exe
06.03.2007 23:16 453.049 comboscan.exe
06.03.2007 23:22 289 datFind.zip
25.12.2006 10:38 1.358.901 DSCN2737.JPG
18.12.2006 23:36 8.986 hattrick analyse.odt
12.09.2006 22:29 770 Hattrick Buddy.lnk
31.01.2007 20:37 759 Hattrick Control.lnk
16.02.2007 23:00 770 Hattrick Organizer.lnk
06.03.2007 23:20 750 HijackThis.lnk
06.03.2007 23:04 212.849 hijackthis.zip
08.03.2007 20:58 1.070 listen.bat
24.01.2007 17:42 19.456 teigel.doc
06.03.2007 22:05 18.432 Trainingstabelle.xls
06.03.2007 22:55 9.453.630 vlc-0.8.6a-win32.exe
14 Datei(en) 11.868.968 Bytes
2 Verzeichnis(se), 6.267.625.472 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 18:52 697 DirectAnimation Java Classes.osd
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
2 Datei(en) 1.859 Bytes
0 Verzeichnis(se), 6.267.625.472 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Programme\Common Files

30.03.2006 22:58 <DIR> .
30.03.2006 22:58 <DIR> ..
06.01.2006 23:51 <DIR> GTK
30.03.2006 22:58 <DIR> Micros~1
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 6.267.625.472 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\Administrator

06.03.2007 23:43 <DIR> .
06.03.2007 23:43 <DIR> ..
26.08.2006 22:56 214.743 .fonts.cache-1
07.01.2006 01:06 0 .gtk-bookmarks
29.11.2005 22:18 <DIR> Application Data
11.02.2007 13:32 125 default.pls
08.03.2007 20:58 <DIR> Desktop
10.02.2007 13:58 <DIR> Eigene Dateien
12.09.2006 18:56 <DIR> Favoriten
06.03.2007 21:57 31 ho.dir
31.12.2005 22:18 <DIR> Incomplete
10.09.2006 13:11 <DIR> logs
06.03.2007 23:43 6.291.456 NTUSER.DAT
03.08.2006 14:19 5.242.880 ntuser.dat.rmbak
24.07.2006 23:33 5.242.880 NTUSER.DAT_BAK_28474
10.09.2006 17:46 5.505.024 NTUSER.DAT_BAK_30498
01.12.2006 23:55 5.767.168 NTUSER.DAT_BAK_41627
30.09.2006 21:05 5.767.168 NTUSER.DAT_BAK_87875
03.08.2006 19:56 4.980.736 NTUSER.DAT_BAK_99767
03.08.2006 14:16 <DIR> Startmen�
31.01.2006 22:35 280 user.xml
12 Datei(en) 39.012.491 Bytes
9 Verzeichnis(se), 6.267.625.472 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Eigene Dateien

10.02.2007 13:58 <DIR> .
10.02.2007 13:58 <DIR> ..
05.03.2006 22:45 <DIR> Bluetooth
07.01.2007 21:39 <DIR> ConvertXtoDVD
21.08.2006 14:03 <DIR> CyberLink
09.12.2006 15:59 <DIR> Eigene Bilder
15.06.2006 22:45 <DIR> Eigene Musik
28.12.2006 22:31 <DIR> Eigene Videos
13.02.2006 23:05 <DIR> ICQ Lite
22.11.2005 00:16 <DIR> Katrin
14.04.2006 19:44 <DIR> Marco
01.11.2006 23:25 <DIR> Marco & Katrin
06.03.2007 02:31 <DIR> Mein Geld
26.12.2006 23:00 730.202.112 mydiscimage.bin
26.12.2006 22:57 74 mydiscimage.cue
04.01.2007 22:10 422.912 nachts im museum.zdp
28.12.2006 21:05 <DIR> PcSetup
26.12.2006 23:33 0 PDVD_MediaDisc.PlayList
28.12.2006 20:47 <DIR> TMPGEnc 3.0 XPress
4 Datei(en) 730.625.098 Bytes
15 Verzeichnis(se), 6.267.621.376 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Program Files

11.07.2006 18:53 <DIR> .
11.07.2006 18:53 <DIR> ..
11.07.2006 18:53 <DIR> ICQLite
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 6.267.621.376 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5

08.03.2007 20:54 32.768 index.dat
1 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 6.267.621.376 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp

08.03.2007 20:49 <DIR> .
08.03.2007 20:49 <DIR> ..
08.03.2007 20:47 <DIR> _avast4_
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 6.267.621.376 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\WINDOWS\Temp

08.03.2007 20:56 <DIR> .
08.03.2007 20:56 <DIR> ..
08.03.2007 20:54 16.384 Perflib_Perfdata_428.dat
08.03.2007 20:46 16.384 Perflib_Perfdata_4c0.dat
08.03.2007 20:47 256 ZLT0430e.TMP
08.03.2007 20:47 256 ZLT0431b.TMP
08.03.2007 20:54 256 ZLT0485c.TMP
08.03.2007 20:54 256 ZLT0487a.TMP
08.03.2007 20:54 <DIR> _avast4_
6 Datei(en) 33.792 Bytes
3 Verzeichnis(se), 6.267.621.376 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Temp

19.01.2006 02:53 <DIR> .
19.01.2006 02:53 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.267.621.376 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Programme

06.03.2007 23:20 <DIR> .
06.03.2007 23:20 <DIR> ..
24.10.2005 11:12 <DIR> Adobe
20.02.2006 12:33 <DIR> Anti-Virus
28.12.2006 21:15 <DIR> AnyDVD
02.07.2006 13:06 <DIR> Ashampoo
23.01.2006 12:36 <DIR> Audacity 1.3 Beta
04.03.2007 22:46 <DIR> Buhl
06.03.2007 23:07 <DIR> CleanUp!
02.12.2006 00:03 <DIR> Codec Pack - All In 1
28.12.2006 21:05 <DIR> common
30.03.2006 22:58 <DIR> Common Files
06.03.2007 23:10 <DIR> ConvertXtoDVD
14.07.2006 12:27 <DIR> CyberLink
29.12.2006 19:12 <DIR> DesignPro
04.08.2006 12:58 <DIR> DivX
30.12.2006 22:28 <DIR> DVDlabPro2
13.10.2005 20:37 <DIR> Firefox
29.12.2006 14:00 <DIR> FrostWire
04.03.2007 20:41 <DIR> Gemeinsame Dateien
12.09.2006 23:01 <DIR> Hattrick Buddy
31.01.2007 20:37 <DIR> Hattrick Control
02.02.2007 00:48 <DIR> Hattrick Organizer
26.09.2006 01:03 <DIR> Haus Wohnung Garten 2006
06.03.2007 23:20 <DIR> HijackThis
11.07.2006 18:53 <DIR> ICQLite
28.09.2006 21:35 <DIR> ICQToolbar
20.02.2007 00:01 <DIR> Internet Explorer
18.03.2004 20:36 <DIR> InterVideo
05.03.2006 22:43 <DIR> IVT Corporation
21.01.2006 12:32 <DIR> Java
11.02.2007 16:16 <DIR> Lavasoft
04.03.2007 22:47 <DIR> letstrade
04.03.2007 21:23 <DIR> Lexware
01.07.2006 23:46 <DIR> messenger
18.03.2004 13:09 <DIR> microsoft frontpage
01.07.2006 23:46 <DIR> Movie Maker
06.03.2007 23:10 <DIR> Mozilla Firefox
08.03.2007 20:49 <DIR> Mozilla Thunderbird
18.03.2004 13:05 <DIR> MSN Gaming Zone
17.08.2006 23:13 <DIR> Nero
17.08.2006 23:06 <DIR> Nero7
28.12.2006 20:31 <DIR> netchviewer
04.01.2006 23:42 <DIR> NetMeeting
28.08.2006 15:17 <DIR> Nokia
07.01.2006 01:24 <DIR> Openoffice
01.07.2006 23:46 <DIR> OpenOffice.org 2.0
15.12.2006 15:47 <DIR> Outlook Express
29.12.2006 13:39 <DIR> Pegasys Inc
16.12.2005 22:11 <DIR> PhotoFiltre
16.04.2004 21:26 <DIR> QuickTime
10.09.2006 18:25 <DIR> ratDVD
22.03.2004 22:42 <DIR> Real
06.03.2007 23:10 <DIR> Registry
06.03.2007 23:10 <DIR> Registry Mechanic2
11.02.2007 19:00 <DIR> Registry System Wizard
06.03.2007 17:14 <DIR> SiSoftware
16.12.2005 21:11 <DIR> sportlereck
26.09.2006 00:13 <DIR> Spybot - Search & Destroy
15.08.2006 10:53 <DIR> TuneUp Utilities 2006
30.09.2006 20:59 <DIR> Tweak-XP Pro 4
09.08.2006 20:22 <DIR> Utilitys
05.08.2006 11:56 <DIR> uTorrent
28.12.2006 21:05 <DIR> vso
05.08.2006 12:08 <DIR> VVSN
04.01.2007 21:40 <DIR> Winamp
01.07.2006 23:46 <DIR> Windows Media Player
04.01.2006 23:42 <DIR> Windows NT
25.09.2006 23:36 <DIR> Windows XP Optimizer
24.07.2006 23:49 <DIR> Winrar
22.11.2005 00:36 <DIR> WinZip
04.03.2007 20:41 <DIR> WISO
26.09.2006 00:45 <DIR> Wohnungsplaner
18.03.2004 13:09 <DIR> xerox
25.09.2006 23:34 <DIR> xp-AntiSpy
25.09.2006 23:50 <DIR> XPcleanv5
22.01.2006 22:10 <DIR> XviD
26.09.2005 20:10 <DIR> Zone Labs
0 Datei(en) 0 Bytes
78 Verzeichnis(se), 6.267.617.280 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten

24.10.2005 11:04 <DIR> Adobe
17.08.2006 23:37 <DIR> Ahead
04.03.2007 22:47 <DIR> ApplicationHistory
02.07.2006 13:03 <DIR> Ashampoo AudioCD MP3 Studio 3
04.03.2007 18:42 86.528 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
20.01.2006 02:48 146 fusioncache.dat
06.03.2007 22:21 41.520 GDIPFONTCACHEV1.DAT
13.03.2005 22:22 <DIR> Help
05.10.2005 20:55 <DIR> Identities
04.03.2007 21:25 <DIR> Lexware
31.10.2005 00:42 <DIR> Mein CEWE FOTOBUCH
19.12.2006 10:29 <DIR> Microsoft
04.11.2005 23:24 <DIR> Mozilla
10.09.2006 18:25 <DIR> ratDVD
31.12.2005 21:41 <DIR> Shareaza
04.02.2006 23:13 <DIR> Thunderbird
3 Datei(en) 128.194 Bytes
13 Verzeichnis(se), 6.267.617.280 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

07.01.2006 01:10 <DIR> .gaim
10.12.2005 20:30 <DIR> Adobe
15.08.2006 12:52 <DIR> AdobeUM
21.08.2006 13:47 <DIR> Ahead
19.11.2005 03:40 <DIR> AnoNet
01.12.2005 18:33 <DIR> ArcSoft
24.01.2006 21:45 393 AutoGK.ini
25.07.2006 00:38 <DIR> Azureus
16.12.2005 21:56 <DIR> BayWatcher Pro
14.07.2006 22:16 <DIR> CyberLink
04.03.2007 23:20 <DIR> DataDesign
06.03.2006 14:13 <DIR> DataLayer
28.12.2006 21:05 81.920 ezpinst.exe
06.03.2007 23:09 <DIR> FrostWire
11.12.2005 17:40 30.504 GDIPFONTCACHEV1.DAT
28.10.2005 23:22 <DIR> Google
03.11.2005 15:24 <DIR> Help
20.11.2005 23:59 <DIR> ICQLite
28.09.2005 16:05 <DIR> InterVideo
30.12.2005 20:51 <DIR> iPodder
28.09.2005 17:26 <DIR> Kazaa Lite
11.02.2007 16:16 <DIR> Lavasoft
25.07.2006 00:38 <DIR> LimeWire
11.01.2006 22:51 <DIR> Macromedia
01.12.2006 23:48 <DIR> Microsoft
13.10.2005 20:44 <DIR> Mozilla
17.10.2005 21:42 <DIR> MSN6
06.03.2006 14:47 <DIR> Nokia
06.03.2007 23:01 <DIR> OpenOffice.org2
06.03.2006 14:08 <DIR> PC Suite
28.12.2006 21:05 7.176 pcouffin.cat
28.12.2006 21:05 1.144 pcouffin.inf
28.12.2006 21:05 34 pcouffin.log
28.12.2006 21:05 47.360 pcouffin.sys
29.12.2006 13:17 <DIR> Pegasys Inc
30.11.2005 20:52 <DIR> phonostar-Player
11.11.2005 01:50 <DIR> pics
26.11.2005 15:09 <DIR> ppStream
23.10.2005 18:54 <DIR> Real
19.11.2005 04:01 <DIR> Steganos3
22.10.2005 17:42 <DIR> Sun
17.08.2006 21:51 <DIR> Symantec
04.11.2005 23:25 <DIR> Talkback
05.11.2005 23:08 <DIR> Thunderbird
24.07.2006 23:16 <DIR> TuneUp Software
22.08.2006 10:37 <DIR> U3
06.03.2007 22:15 <DIR> uTorrent
07.01.2007 22:31 <DIR> Vso
08.12.2005 22:58 166 wklnhst.dat
8 Datei(en) 168.697 Bytes
41 Verzeichnis(se), 6.267.613.184 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

07.02.2006 15:03 305 addr_file.html
15.08.2006 12:51 <DIR> Adobe
22.09.2005 15:52 <DIR> AOL
05.03.2006 22:45 <DIR> Bluetooth
14.07.2006 12:30 <DIR> CyberLink
30.03.2006 22:58 <DIR> fun communications
18.03.2004 20:38 <DIR> InterVideo
26.09.2006 23:23 <DIR> Lexware
17.10.2005 21:41 <DIR> MSN6
11.11.2005 01:50 <DIR> pics
16.04.2004 21:26 <DIR> QuickTime
08.12.2005 23:24 <DIR> Spybot - Search & Destroy
17.08.2006 22:00 <DIR> Symantec
10.10.2006 10:33 <DIR> TuneUp Software
12.11.2005 23:54 <DIR> Viewpoint
1 Datei(en) 305 Bytes
14 Verzeichnis(se), 6.267.613.184 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Programme\Gemeinsame Dateien

04.03.2007 20:41 <DIR> .
04.03.2007 20:41 <DIR> ..
04.08.2006 12:56 <DIR> Adobe
17.08.2006 23:13 <DIR> Ahead
23.10.2005 17:42 <DIR> aol
30.12.2005 20:51 <DIR> aolback
06.03.2007 00:56 <DIR> Buhl Data Service
19.08.2004 20:51 <DIR> clrtncpn
30.03.2006 22:58 <DIR> DataDesign
18.03.2004 13:07 <DIR> Dienste
28.02.2006 22:53 <DIR> InstallShield
21.01.2006 12:31 <DIR> Java
04.03.2007 21:38 <DIR> Lexware
04.03.2007 22:47 <DIR> Microsoft Shared
18.03.2004 13:07 <DIR> MSSoap
24.02.2005 23:08 <DIR> Nikon
24.10.2005 12:46 <DIR> NSV
16.04.2004 21:26 <DIR> Nullsoft
23.10.2005 18:52 <DIR> Real
18.03.2004 12:31 <DIR> SpeechEngines
17.08.2006 22:14 <DIR> Symantec Shared
26.11.2005 00:06 <DIR> Synacast
15.12.2006 15:46 <DIR> System
28.08.2006 15:15 <DIR> Wise Installation Wizard
23.10.2005 18:52 <DIR> xing shared
0 Datei(en) 0 Bytes
25 Verzeichnis(se), 6.267.609.088 Bytes frei
Datentr„ger in Laufwerk C: ist Betriebssystem
Volumeseriennummer: 003F-B1CF

Verzeichnis von C:\Windows\tasks
__________
Dieser Satz kein Verb.

#6 ««
dieser Rechner ist dermassen mit P2P-Software zugeknallt, dass ich bezweifel. dass er jemals wieder sauber und ohne probleme laufen wird.

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [winexes] C:\WINDOWS\winexes.exe
O4 - HKCU\..\Run: [winexes] C:\WINDOWS\winexes.exe

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html

Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Wget
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WareOut
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\teqq32

Files to delete:
C:\WINDOWS\plugin1.dat
C:\WINDOWS\winexes.exe

Folders to delete:
C:\Programme\VVSN
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

ººººººººººººººººº
««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken
reinschreiben: 1

1 : es wird a-squared geladen
3. full scan (heuristic/riskware scanning enabled) - scanne
4. save quarantine list - poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Scan settings:

Objects: Memory, Traces, Cookies, C:
Scan archives: On
Heuristics: On
ADS Scan: On

Scan start: 09.03.2007 12:16:54

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:278 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:279 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:280 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:281 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:282 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:283 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:303 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:304 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:310 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:325 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:326 detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cookies.txt:384 detected: Trace.TrackingCookie

Scanned

Files: 130996
Traces: 78819
Cookies: 403
Processes: 27

Found

Files: 0
Traces: 0
Cookies: 12
Processes: 0

Quarantined

Files: 0
Traces: 0
Cookies: 0
Processes: 0

Scan end: 09.03.2007 13:04:02
Scan time: 00:47:08
__________
Dieser Satz kein Verb.

#8 Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

»»
scanne mit panda + kaspersky und poste eide scanreporte
http://virus-protect.org/panda_online.html
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 10. März 2007 08:49:30
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 9/03/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 264135
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 62389
Viren gefunden: 3
Infizierte Objekte gefunden: 44 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:05:09

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\avenger\backup.zip/avenger/winexes.exe Infizierte Objekte: Trojan.Win32.Pakes übersprungen
C:\avenger\backup.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... /[From Joey Ibarra <fmv@bikini.dbg.bs1.fc.nec.co.jp>][Date Fri, 19 Jan 2007 18:58:25 - ... /UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... /[From Joey Ibarra <fmv@bikini.dbg.bs1.fc.nec.co.jp>][Date Fri, 19 Jan 2007 18:58:25 -0500]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... / .. . ... /[From eBay <savedsearches@ebay.de>][Date Fri, 19 Jan 2007 13:20:48 GMT-07:00]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... / .. ... /[From Holder Marion <ikob@lumiplast.com>][Date Fri, 19 Jan 2007 12:40:38 -0500]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... / ... /[From "Diana" <pylbb@bebeh.servileness.com>][Date Fri, 19 Jan 2007 17:10:26 +0100]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... /[From "Emmett Messer" <lamenteddinner@ac-hotels.com>][Date Fri, 19 Jan 2007 09:33:21 -0120]/text Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... /[From Brendan M. Mansfield <hpopetroleum@otelo.com>][Date Fri, 19 Jan 2007 10:25:15 +0200]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... /[From ... /[From revue go <evshuttle@orrick.com>][Date Fri, 19 Jan 2007 05:25:18 -0300]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... /[From prosperity no <sbconsumer@pottertom99.com>][Date Fri, 19 Jan 2007 10:22:06 +0200]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... /[F ... /[From Spencer Hurd <nxfinite@oemcomp.com>][Date Fri, 19 Jan 2007 14:21:16 +0600]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... /[From ... /[From eBay <savedsearches@ebay.de>][Date Thu, 18 Jan 2007 11:15:08 GMT-07:00]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... /[From Raphael I. Fields <otn@carynsellshomes.com>][Date Thu, 18 Jan 2007 11:49:34 + ... /UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... . ... /[From Raphael I. Fields <otn@carynsellshomes.com>][Date Thu, 18 Jan 2007 11:49:34 +0200]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... ... /[From Benjamin P. Beltran <lwwffx@dmsands.com>][Date Tue, 16 Jan 2007 21:13:52 - ... /UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... ... /[From Benjamin P. Beltran <lwwffx@dmsands.com>][Date Tue, 16 Jan 2007 21:13:52 -0500]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... .. ... ... ... /[From <reviewbook@ferrarachoppers.com>][Date 16 Jan 2007 17:41:19 +0200]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... .. ... ... /[From eBay <savedsearches@ebay.de>][Date Mon, 15 Jan 2007 11:15:15 GMT-07:00]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... .. ... /[From "Salome Gillespie" <xnrc@gersten.net>][Date Mon, 15 Jan 2007 14:05:20 +0700]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... ... /[From Muniz A. Tim <vcn@associazionepraxis.it>][Date Mon, 15 Jan 2007 09:03:01 +0900]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... /[ ... /[From Selma Carver <ybdbegun@bootygirlz.com>][Date Sun, 14 Jan 2007 20:16:32 +0100]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... ... /[From Joachim N. Dudley <hnszqi@vanhoutholding.com>][Date Mon, 15 Jan 2007 01:21:53 +0800]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... /[From " ... /[From Stankowski <b-stankowski@versanet.de>][Date Sat, 13 Jan 2007 22:37:24 +0100]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... /[From "Gilbe ... /[From eBay <savedsearches@ebay.de>][Date Fri, 12 Jan 2007 12:24:15 GMT-07:00]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... /[From "Gilbert Jacobs" <yqmdq@rbwright237.wanadoo.co.uk>][Date Sat, 13 Jan 2007 01:02:45 + .. ... /text Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... /[From "Gilbert Jacobs" <yqmdq@rbwright237.wanadoo.co.uk>][Date Sat, 13 Jan 2007 01:02:45 + ... /UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date T ... /[From "Gilbert Jacobs" <yqmdq@rbwright237.wanadoo.co.uk>][Date Sat, 13 Jan 2007 01:02:45 +0900]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date Thu, 11 Jan 2 ... /[From Pacheco L. Tilda <oltv@heraeus.com.ph>][Date Fri, 12 Jan 2007 19:30:32 +0900]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date Thu, 11 Jan 2007 0 ... /[From eBay <savedsearches@ebay.de>][Date Thu, 11 Jan 2007 07:49:00 GMT-07:00]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date Thu, 11 Jan 2007 0 ... /[From "Malone Montague" <qrtui@meci.pt>][Date Thu, 11 Jan 2007 12:51:44 +0200]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From Muriel J. Lara <zwvrk@rayneriberica.es>][Date Thu, 11 Jan 2007 01:19:28 +0800]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.a übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From "Henrietta Gamble" <pvl@suirsoft.com>][Date Wed, 24 ... /[ ... /[From Compton Q. Ninette <pvj@edietsave.com>][Date Thu, 25 Jan 2007 12:23:22 - ... /UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From "Henrietta Gamble" <pvl@suirsoft.com>][Date Wed, 24 ... /[ ... /[From Compton Q. Ninette <pvj@edietsave.com>][Date Thu, 25 Jan 2007 12:23:22 -0500]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From "Henrietta Gamble" <pvl@suirsoft.com>][Date Wed, 24 ... /[From "Han ... /[From ski <lgdipc@blytheonline.net>][Date Thu, 25 Jan 2007 17:06:44 +0800]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From "Henrietta Gamble" <pvl@suirsoft.com>][Date Wed, 24 ... /[From "Hansen, Monika" <Monika.Hansen@haacke-natur.de>][Date Thu, 25 Jan 2007 07:59:46 +0100]/text Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From "Henrietta Gamble" <pvl@suirsoft.com>][Date Wed, 24 Jan ... /[From "Brady Gilbert" <ztqvcf@cityaquarium.com>][Date Thu, 25 Jan 2007 13:56:07 -0800]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From "Henrietta Gamble" <pvl@suirsoft.com>][Date Wed, 24 Jan 2007 ... /[From Gamble G. Hope <mdj@upsavirtual.com>][Date Wed, 24 Jan 2007 10:25:57 +0100]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text/[From "Henrietta Gamble" <pvl@suirsoft.com>][Date Wed, 24 Jan 2007 14:35:30 +0530]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED/[From "Dominik Lip" <d.lip@gmx.de>][Date Mon, 25 Dec 2006 17:13:35 +0100]/text Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED/[From <service@Der-Feine-Tisch.de>][Date Sun, 24 Dec 2006 15:16:23 +0100]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text/[From Care2 Connect <bounce@australia.care2.com>][Date 22 Dec 2006 20:49:35 -0800]/UNNAMED Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36 +0100]/text Infizierte Objekte: Email-Worm.Win32.Zhelatin.d übersprungen
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox Mail Berkeley mbox: infiziert - 41 übersprungen
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\a58qlfb2.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~DF6B33.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007031020070311\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Crypto\RSA\MachineKeys\a81ecbfc096a814591b931e9f9629d0c_469904e6-7b77-4ff2-84af-6c7cb6e017a1 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Anti-Virus\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Anti-Virus\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen
C:\Programme\Anti-Virus\Avast4\DATA\log\AshWebSv.ws Das Objekt ist gesperrt übersprungen
C:\Programme\Anti-Virus\Avast4\DATA\log\aswMaiSv.log Das Objekt ist gesperrt übersprungen
C:\Programme\Anti-Virus\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen
C:\Programme\Anti-Virus\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{84F6C3A3-0AA8-4D85-A44F-5CE48B329154}\RP3\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\HORST.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd6029.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_480.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT00399.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT003bd.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.






PANDA funktioniert nicht richtig, folgende Meldung wirft er ständig raus:



Error on downloading ActiveScanAn error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try againPossible causes of this error are:

Not allowing the application's ActiveX control to be downloaded.

Problems with the Internet connection.

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,...
__________
Dieser Satz kein Verb.

#10 Mocca

««
loesche:
C:\avenger\backup.zip + leere den Papierkorb

««
so kann man die verseuchten Mails restlos aus der Inbox zu entfernen:

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\vg266023.default\Mail\Local Folders\Inbox/[From "PIXACO" <support@pixaco.de>][Date Mon, 19 Dec 2005 19:27:36

usw.
usw.
usw.


1. Mail aus Inbox löschen
2. Mülleimer leeren
3. Inbox komprimieren (Datei-Menü)

Hintergrund: Die gesamte Inbox ist auf der Festplatte als eine einzige Datei abgelegt. Darin stehen alle Mails untereinander, und auch die "gelöschten" Mails bleiben stehen (nur sind sie als gelöscht markiert). Erst durch das Komprimieren werden tatsächlich Teile aus der Datei entfernt.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Habe den avenger\backup.zip gelöscht.
Papierkorb geleert.
Habe die leere inbox komprimiert.
__________
Dieser Satz kein Verb.

#12 Mocca

SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#13 SDFix: Version 1.70

Run by Administrator - 11.03.2007 / 21:34:47,46

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\system32\.exe - Deleted
C:\WINDOWS\regedit.com - Deleted
C:\WINDOWS\syspr.prx - Deleted
C:\WINDOWS\system32\.exe - Deleted



ADS Check:

C:\WINDOWS\system32
No streams found.


Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"="C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe:*:Enabled:BlueSoleil"
"C:\\Programme\\uTorrent\\utorrent.exe"="C:\\Programme\\uTorrent\\utorrent.exe:*:Enabled:µTorrent"
"C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\utorrent.exe"="C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\utorrent.exe:*:Enabled:µTorrent"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\WINDOWS\dpwtddxp.dll
C:\WINDOWS\dpwtpdxp.dll
C:\WINDOWS\system32\dpwtdaxp.dll
C:\WINDOWS\system32\dpwtpaxp.dll
C:\WINDOWS\system32\spwtpaxp.dll
C:\WINDOWS\system32\whlpda32e.dll
C:\Programme\Windows Media Player\mplayer2.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\06A8C0E24B.sys
C:\WINDOWS\system32\KGyGaAvL.sys

Finished










catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = C:\WINDOWS\htpatch.exe?ows\CurrentVersion\Run???\??????[????`??[???[`??[???????????????[???[???[???[$??????[???????????????[???????????[???w????(????3?w???w?????3?w ??w???[??????d???r??[1??[???[d??????[?-?[????z??w8h?[\2?[?1?[htinst.INI?[?u?[????d????????F?

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
__________
Dieser Satz kein Verb.

#14 scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Scan durchgeführt. Hat folgendes gefunden:


Adware.IePlugin ------- HKCR\Remove

und

Unclassified.Oriens32 in C:\windows\system32\drivers\oreans32.sys

und jede Menge weitere Spuren ausgehend von o.g. Oriens32 im

HKLM\System\ControlSet und Current Control Set



Ich hab keinen gesonderten Report kopieren können, deswegen diesmal so unorthodox. Die o.g. Dateien hab ich löschen bzw. unter Quarantäne stellen lassen. Hoffe, das war richtig so.



Gruß, Moc
__________
Dieser Satz kein Verb.