Trojan Downloader etc, bitte hijackthis überprüfen!

#0
13.03.2007, 19:09
Member
Avatar Ceofreak

Beiträge: 47
#1 Hallo!
Ich habe heute beim booten nen fehler gehabt bzw das cli.exe nich gestartet werden kann, das is vom ati control center die im autostart is, die hab ich dan rausgenommen jetz isses weg, aber da dann n anderes programm auch nich ging wurd ich skeptisch und habe nen virenscan gemacht, bis jetzt 5 gefunden und gelöscht mit escan, ein paar trojan downloader und so waren dabei, sind laut escan jetzt deleted aber ich scanne gleich nochmal, könntet ihr bitte meine hijackthis loc überprüfen und mir sagen ob noch was da is und was ich dagegen tun muss?

Hier die Loc:

Logfile of HijackThis v1.99.1
Scan saved at 19:09:46, on 13.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Ventrilo\Ventrilo.exe
C:\Dokumente und Einstellungen\Rain\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [iTunesHelper] REM "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] REM "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] REM "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rlx51dom - C:\WINDOWS\SYSTEM32\rlx51dom.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe




<<<edit>>>



habe jetzt nochmal gescannt aber wurde nixmehr gefunden.. irgendwie trau ich dem ganzen aber noch nicht...

ich hatte vor dem scan nen problem daoc portal zu starten, also die exe ging nicht genau wie beim cli.exe dann hab ichs deinstalliert und wills neu installieren dann kommt nur:

There is a problem with this windows installer package.A Program run as part of the setup did not finnish as expected. Contact your support personnel or package vendor.

(Daoc portal is ein programm um das onlinerollenspiel dark age of camelot auf anderen servern zu spielen)

Hier nochmal die Hijack nach dem 2. scan

Logfile of HijackThis v1.99.1
Scan saved at 20:39:42, on 13.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Steam\steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Rain\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [iTunesHelper] REM "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] REM "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] REM "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rlx51dom - C:\WINDOWS\SYSTEM32\rlx51dom.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


vielen dank im vorraus,

grüsse

Ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>
Dieser Beitrag wurde am 13.03.2007 um 20:37 Uhr von Ceofreak editiert.
Seitenanfang Seitenende
14.03.2007, 11:34
Member
Avatar Chris4You

Beiträge: 694
#2 Hallo,

Prüfe Datei "rlx51dom.dll" über

Zitat

http://virusscan.jotti.org/
Falls Befund -> fixen.

Zitat

(O20 - Winlogon Notify: rlx51dom - C:\WINDOWS\SYSTEM32\rlx51dom.dll)
prüfe ob Du das Installationsproblem damit lösen kannst:

Zitat

http://support.microsoft.com/kb/312444
.


Mehr finde ich nicht, bitte Sabina ggf. ansprechen....

Gruß,
Chris
Dieser Beitrag wurde am 14.03.2007 um 11:38 Uhr von Chris4You editiert.
Seitenanfang Seitenende
15.03.2007, 10:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 ««
Wende bitte Marckie's Haxfix Haxdoor Removal
(http://www.hijackthis-forum.de/showthread.php?t=14523)
entsprechend der Anleitung an und zeige das HAXFIX logfile.

««
AVG Anti-Rootkit 1.0.0.13 Beta
http://www.freewarefiles.com/program_9_90_22524.html

««
Download TrendMicro's Rootkit Buster - Double-click RootkitBuster.exe - TMRB.Log
http://www.trendmicro.com/ftp/products/rootkitbuster/RootkitBusterv1.6-1055.zip

««
catchme
http://gmer.net/catchme.exe
click the catchme.exe - catchme.log


Zitat

Complete scanning result of "rlx51dom.dll", received in VirusTotal at 03.08.2007, 23:26:53 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.08.2007 BDS/Haxdoor.GJ.1
Authentium 4.93.8 03.08.2007 no virus found
Avast 4.7.936.0 03.08.2007 Win32:Goldun-FK
AVG 7.5.0.447 03.08.2007 PSW.Generic3.IMQ
BitDefender 7.2 03.08.2007 Generic.Malware.SFYdlwdld.6C2F8DA5
CAT-QuickHeal 9.00 03.08.2007 no virus found
ClamAV devel-20060426 03.08.2007 no virus found
DrWeb 4.33 03.08.2007 no virus found
eSafe 7.0.14.0 03.08.2007 SuspiciousR-Agent26
eTrust-Vet 30.6.3464 03.08.2007 Win32/Starimp!generic
Ewido 4.0 03.07.2007 no virus found
FileAdvisor 1 03.08.2007 no virus found
Fortinet 2.85.0.0 03.08.2007 Spy/Haxdor
F-Prot 4.3.1.45 03.08.2007 no virus found
F-Secure 6.70.13030.0 03.08.2007 W32/Smalltroj.ZYB
Ikarus T3.1.1.3 03.08.2007 Trojan-Spy.Win32.Goldun
Kaspersky 4.0.2.24 03.08.2007 no virus found
McAfee 4980 03.08.2007 no virus found
Microsoft 1.2204 03.08.2007 TrojanSpy:Win32/Goldun.gen!dll
NOD32v2 2104 03.08.2007 a variant of Win32/Spy.Goldun.GU
Norman 5.80.02 03.07.2007 W32/Smalltroj.ZYB
Panda 9.0.0.4 03.08.2007 Trj/Goldun.OM
Prevx1 V2 03.08.2007 Covert.Code
Sophos 4.15.0 03.07.2007 Troj/Haxdor-Fam
Sunbelt 2.2.907.0 03.07.2007 Trojan.SFYdlwdld.6C2F8DA5
Symantec 10 03.08.2007 no virus found
TheHacker 6.1.6.072 03.07.2007 no virus found
UNA 1.83 03.07.2007 no virus found
VBA32 3.11.2 03.08.2007 suspected of Trojan-Spy.Banker.51
VirusBuster 4.3.19:9 03.08.2007 no virus found

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.03.2007, 17:11
Member

Themenstarter
Avatar Ceofreak

Beiträge: 47
#4 So hallo!
Also hier erstmal die Haxfix Log

HAXFIX logfile - by Marckie

version 4.38
15.03.2007 17:04:46,92

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

checking for other Haxdoor-files
no other Haxdoor-files found


--- Checking for Goldun ---


checking for SSODL keys
no ssodl keys found

checking for notify keys
rlx51dom

checking for services
rlx66dob

checking for other Goldun-files
no other Goldun-files found

checking iexplore.exe
iexplore.exe is not infected


Finished!


Ich habe nichts gelöscht oder so nich das ich was falsch mache!


AVG Anti-Rootkit 1.0.0.13 Beta

Befund:
C:\Windows\System32\rlx66dob.sys
C:\Windows\System32\rlx66dob.sys
C:\Windows\System32\rlx51dom.dll


Deleted > Reboot

(beim hochfahren sagte er er hat alle 3 dateien erfolgreich gelöscht!)


Hier die nächste loc

+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

und die letzte:


catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


und nochmal ne haxfix zum abschluss um sicher zu gehen:

HAXFIX logfile - by Marckie

version 4.38
15.03.2007 17:23:08,51

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

checking for other Haxdoor-files
no other Haxdoor-files found


--- Checking for Goldun ---


checking for SSODL keys
no ssodl keys found

checking for notify keys
rlx51dom

checking for services
rlx66dob

checking for other Goldun-files
no other Goldun-files found

checking iexplore.exe
iexplore.exe is not infected


Finished!

hm hier steht nochmal die rlx51dom und die rlx66dob drinnen, was soll ich tun?


VIelen dank im vorraus Sabina,


grüsse

Ceo


PS:

Daoc portal hat sich nun auch wieder installieren lassen, sabina du hasts echt drauf!danke!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>
Dieser Beitrag wurde am 15.03.2007 um 17:31 Uhr von Ceofreak editiert.
Seitenanfang Seitenende
15.03.2007, 22:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
15.03.2007, 22:18
Member

Themenstarter
Avatar Ceofreak

Beiträge: 47
#6 Hallo!

Gesagt getan, hier die log! der zweite link ist doch das gleiche oder?

Start Time= 15.03.2007 22:16:14,42

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-15 17:33:36 ( .D... ) "C:\Programme\DAoC Portal"
2007-03-15 17:07:02 ( .D... ) "C:\Programme\GRISOFT"
2007-03-15 17:04:30 ( .D... ) "C:\Programme\HaxFix"
2007-03-14 18:40:18 ( .D... ) "C:\Dokumente und Einstellungen\Rain\Anwendungsdaten\Electronic Arts"
2007-03-14 17:56:12 ( .D... ) "C:\Dokumente und Einstellungen\Rain\Anwendungsdaten\Mozilla"
2007-03-14 17:56:04 ( .D... ) "C:\Programme\Mozilla Firefox"
2007-03-13 13:43:46 ( .D... ) "C:\Programme\Tools&More"
2007-03-03 14:22:02 69632 ( A.... ) "C:\WINDOWS\ScUnin.exe"
2007-02-28 10:37:54 ( .D... ) "C:\Dokumente und Einstellungen\Rain\Anwendungsdaten\Command & Conquer 3 Tiberium Wars Demo"
2007-02-28 10:33:50 ( .D... ) "C:\Programme\Electronic Arts"
2007-02-02 07:02:28 4608 ( A.... ) "C:\WINDOWS\system32\w95inf32.dll"
2007-02-02 07:02:28 2272 ( A.... ) "C:\WINDOWS\system32\w95inf16.dll"
2007-01-28 02:55:14 43520 ( A.... ) "C:\WINDOWS\system32\CmdLineExt03.dll"
2007-01-04 21:34:52 8234 ( A.... ) "C:\clean.bat"


((((((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"CTHelper"="CTHELPER.EXE"
"iTunesHelper"="REM \"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="REM \"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ATICCC"="REM \"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"MailScan Dispatcher"="\"C:\\Programme\\eScan\\LAUNCH.EXE\""
"eScan Updater"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE /App"
"eScan Monitor"="C:\\PROGRA~1\\eScan\\AVPMWrap.EXE"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"Steam"="REM \"c:\\programme\\steam\\steam.exe\" -silent"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""


Contents of the 'Scheduled Tasks' folder

Completion time: 15.03.2007 22:17:31,81
ComboFix ver 06.06.17 - This logfile is located at C:\ComboFix.txt



Vielen dank im vorraus,

lg

ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>
Seitenanfang Seitenende
15.03.2007, 22:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 sorry ;)

poste die 2 logs, die erstellt werden
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.03.2007, 22:33
Member

Themenstarter
Avatar Ceofreak

Beiträge: 47
#8 Kein problem! ;)


HIer nummer eins:

ComboScan v20070306.20 run by Rain on 2007-03-15 at 22:35:16
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created ComboScan Restore Point.


-- Last 5 Restore Point(s) --
36: 2007-03-15 21:35:21 UTC - RP174 - ComboScan Restore Point
35: 2007-03-15 16:33:31 UTC - RP173 - Installed DAoC Portal
34: 2007-03-14 17:41:59 UTC - RP172 - Installed DAoC Portal
33: 2007-03-13 19:38:54 UTC - RP171 - Installed DAoC Portal
32: 2007-03-13 19:34:35 UTC - RP170 - Installed DAoC Portal


-- First Restore Point --
1: 2006-10-02 12:18:41 UTC - RP139 - Installed Caesar IV


Performed disk cleanup.


-- HijackThis (run as Rain.exe) ------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 22:35:25, on 15.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rain\Desktop\comboscan.exe
C:\DOKUME~1\Rain\Desktop\Rain.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [iTunesHelper] REM "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATICCC] REM "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] REM "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rlx51dom - rlx51dom.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


-- File Associations -----------------------------------------------------------

.bat - batfile - "%1" %*
.chm - chm.file - "C:\WINDOWS\hh.exe" %1
.cmd - cmdfile - "%1" %*
.com - comfile - "%1" %*
.exe - exefile - "%1" %*
.hlp - hlpfile - %SystemRoot%\System32\winhlp32.exe %1
.inf - inffile - %SystemRoot%\System32\NOTEPAD.EXE %1
.ini - inifile - %SystemRoot%\System32\NOTEPAD.EXE %1
.js - JSFile - %SystemRoot%\System32\WScript.exe "%1" %*
.lnk - lnkfile - {00021401-0000-0000-C000-000000000046}
.pif - piffile - "%1" %*
.reg - regfile - regedit.exe "%1"
.scr - scrfile - "%1" /S
.txt - txtfile - %SystemRoot%\system32\NOTEPAD.EXE %1
.vbs - VBSFile - %SystemRoot%\System32\WScript.exe "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

1R AmdK7 (AMD K7-Prozessortreiber) - C:\WINDOWS\system32\drivers\amdk7.sys
3R Arp1394 (1394-ARP-Clientprotokoll) - C:\WINDOWS\system32\drivers\arp1394.sys
3R ati2mtag - C:\WINDOWS\system32\drivers\ati2mtag.sys
0R AVG Anti-Rootkit - C:\WINDOWS\system32\drivers\avgarkt.sys
1R AvgArCln (Avg Anti-Rootkit Clean Driver) - C:\WINDOWS\system32\drivers\AvgArCln.sys
3R ctac32k (Creative AC3 Software Decoder) - C:\WINDOWS\system32\drivers\ctac32k.sys
3R ctaud2k (Creative Audio Driver (WDM)) - C:\WINDOWS\system32\drivers\ctaud2k.sys
3S ctdvda2k (Creative DVD-Audio Device Driver) - C:\WINDOWS\system32\drivers\ctdvda2k.sys
3R ctprxy2k (Creative Proxy Driver) - C:\WINDOWS\system32\drivers\ctprxy2k.sys
3R ctsfm2k (Creative SoundFont Management Device Driver) - C:\WINDOWS\system32\drivers\ctsfm2k.sys
3R dtscsi - C:\WINDOWS\system32\drivers\dtscsi.sys
3R EL90Xbc (3Com 3C90X-BC Family PCI EtherLink Adapter) - C:\WINDOWS\system32\drivers\el90Xbc5.SYS
3R emupia (E-mu Plug-in Architecture Driver) - C:\WINDOWS\system32\drivers\emupia2k.sys
3S ezplay (VSO Software ezplay) - C:\WINDOWS\system32\drivers\ezplay.sys
3R GEARAspiWDM - C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
3R ha10kx2k (Creative Hardware Abstract Layer Driver) - C:\WINDOWS\system32\drivers\ha10kx2k.sys
3R hap16v2k (Creative P16V HAL Driver) - C:\WINDOWS\system32\drivers\haP16v2k.sys
3S hap17v2k (Creative P17V HAL Driver) - C:\WINDOWS\system32\drivers\haP17v2k.sys
3R hidusb (Microsoft HID Class-Treiber) - C:\WINDOWS\system32\drivers\hidusb.sys
4S InCDFs (InCD File System) - C:\WINDOWS\system32\drivers\InCDFs.sys (not found)
1S InCDPass - C:\WINDOWS\system32\drivers\InCDPass.sys (not found)
1S InCDRm (InCD Reader) - C:\WINDOWS\system32\drivers\InCDRm.sys (not found)
2R ithsgt - C:\WINDOWS\system32\drivers\ithsgt.sys
1R Klif - C:\WINDOWS\system32\drivers\klif.sys
2R lilsgt - C:\WINDOWS\system32\drivers\lilsgt.sys
3R mouhid (Maus-HID-Treiber) - C:\WINDOWS\system32\drivers\mouhid.sys
3R ms_mpu401 (Microsoft MPU-401 MIDI UART-Treiber) - C:\WINDOWS\system32\drivers\msmpu401.sys
3R NIC1394 (1394-Netzwerktreiber) - C:\WINDOWS\system32\drivers\nic1394.sys
0R nvatabus - C:\WINDOWS\system32\drivers\nvatabus.sys
3R NVENET (NVIDIA nForce MCP Networking Adapter Driver) - C:\WINDOWS\system32\drivers\NVENET.sys
0R nv_agp (NVIDIA nForce AGP Bus Filter) - C:\WINDOWS\system32\drivers\nv_agp.SYS
0R ohci1394 (OHCI-konformer IEEE 1394-Hostcontroller) - C:\WINDOWS\system32\drivers\ohci1394.sys
1R oreans32 - C:\WINDOWS\system32\drivers\oreans32.sys
3R ossrv (Creative OS Services Driver) - C:\WINDOWS\system32\drivers\ctoss2k.sys
3S pcouffin (VSO Software pcouffin) - C:\WINDOWS\system32\drivers\pcouffin.sys
2R PfModNT - C:\WINDOWS\system32\drivers\PFMODNT.SYS
1S rlx66dob (rege memory mapper) - C:\WINDOWS\system32\rlx66dob.sys (not found)
3R RMSPPPOE (WAN Miniport (PPP over Ethernet Protocol)) - C:\WINDOWS\system32\drivers\RMSPPPOE.SYS
0R sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - C:\WINDOWS\system32\drivers\sfdrv01.sys
0R sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - C:\WINDOWS\system32\drivers\sfhlp02.sys
0R sfsync02 (StarForce Protection Synchronization Driver (version 2.x)) - C:\WINDOWS\system32\drivers\sfsync02.sys
0R sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - C:\WINDOWS\system32\drivers\sfvfs02.sys
0R sptd - C:\WINDOWS\system32\drivers\sptd.sys
3R usbehci (Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller) - C:\WINDOWS\system32\drivers\usbehci.sys
3R usbohci (Miniporttreiber für Microsoft USB Open Host-Controller) - C:\WINDOWS\system32\drivers\usbohci.sys
3S USBSTOR (USB-Massenspeichertreiber) - C:\WINDOWS\system32\drivers\USBSTOR.SYS
0R vax347b - C:\WINDOWS\system32\drivers\vax347b.sys
0R vax347s - C:\WINDOWS\system32\drivers\vax347s.sys
1R WS2IFSL (Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung) - C:\WINDOWS\system32\drivers\ws2ifsl.sys
3S XTrapD12 - C:\WINDOWS\system32\XTrapD12.sys (not found)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

3S aspnet_state (ASP.NET State Service) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
2R Ati HotKey Poller - C:\WINDOWS\system32\Ati2evxx.exe
2S ATI Smart - C:\WINDOWS\system32\ati2sgag.exe
3S clr_optimization_v2.0.50727_32 (.NET Runtime Optimization Service v2.0.50727_X86) - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
2R eScan-trayicos (eScan Server-Updater) - C:\PROGRA~1\eScan\TRAYSSER.EXE
3S IDriverT (InstallDriver Table Manager) - "C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe"
3S iPodService - C:\Programme\iPod\bin\iPodService.exe
2R KAVMonitorService (eScan Monitor Service) - C:\PROGRA~1\eScan\avpm.exe /service
2R StarWindService (StarWind iSCSI Service) - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
2R UMWdf (Windows User Mode Driver Framework) - C:\WINDOWS\system32\wdfmgr.exe
3S usnsvc (Messenger Sharing USN Journal Reader-Service) - C:\WINDOWS\system32\svchost.exe -k usnsvc
3S usprserv (User Privilege Service) - C:\WINDOWS\System32\svchost.exe -k netsvcs


-- Files created between 2007-02-15 and 2007-03-15 -----------------------------

2007-03-15 22:18:20 0 d-------- C:\WINDOWS\LastGood
2007-03-15 17:33:34 0 d-------- C:\Programme\DAoC Portal<DAOCPO~1>
2007-03-15 17:19:01 102800 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-03-15 17:07:02 3968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-03-15 17:07:01 0 d-------- C:\Programme\GRISOFT
2007-03-15 17:04:41 40960 --a------ C:\WINDOWS\system32\swsc.exe
2007-03-15 17:04:41 90112 --a------ C:\WINDOWS\system32\RegDACL.exe
2007-03-15 17:04:41 4096 --a------ C:\WINDOWS\system32\reboot.exe
2007-03-15 17:04:41 53248 --a------ C:\WINDOWS\system32\process.exe
2007-03-15 17:04:41 38400 --a------ C:\WINDOWS\system32\moveex.exe
2007-03-15 17:04:41 8234 --a------ C:\clean.bat
2007-03-14 19:56:56 1152 --a------ C:\WINDOWS\mozver.dat
2007-03-14 17:56:16 0 --a------ C:\WINDOWS\nsreg.dat
2007-03-14 17:56:02 0 d-------- C:\Programme\Mozilla Firefox<MOZILL~1>
2007-03-13 13:43:45 0 d-------- C:\Programme\Tools&More<TOOLS&~1>
2007-03-03 14:19:07 29154 --a------ C:\WINDOWS\scunin.dat
2007-03-03 14:19:04 967 --a------ C:\WINDOWS\ScUnin.pif
2007-03-03 14:19:04 69632 --a------ C:\WINDOWS\ScUnin.exe
2007-02-28 10:37:18 3426072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-02-28 10:33:49 0 d-------- C:\Programme\Electronic Arts<ELECTR~1>


-- Find3M Report ---------------------------------------------------------------

2007-03-15 18:31:34 0 d-------- C:\Programme\Steam
2007-03-15 17:28:35 0 d-------- C:\Programme\PartyGaming<PARTYG~1>
2007-03-15 17:16:51 0 d-------- C:\Programme\eScan
2007-03-14 18:40:17 0 d-------- C:\Dokumente und Einstellungen\Rain\Anwendungsdaten\Electronic Arts<ELECTR~1>
2007-03-14 17:56:10 0 d-------- C:\Dokumente und Einstellungen\Rain\Anwendungsdaten\Mozilla
2007-03-13 18:22:06 0 d-------- C:\Dokumente und Einstellungen\Rain\Anwendungsdaten\Azureus
2007-03-07 17:16:42 0 d-------- C:\Programme\ICQLite
2007-02-28 11:24:44 0 d-------- C:\Dokumente und Einstellungen\Rain\Anwendungsdaten\Command & Conquer 3 Tiberium Wars Demo<COMMAN~1>
2007-02-02 08:11:42 0 d--h----- C:\Programme\InstallShield Installation Information<INSTAL~1>
2007-02-02 07:02:56 285 --a------ C:\WINDOWS\EReg072.dat
2007-02-02 07:02:27 4608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-02-02 07:02:27 2272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-01-30 05:35:58 0 d-------- C:\Programme\Azureus
2007-01-28 02:55:13 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll<CMDLIN~2.DLL>


-- Registry Dump ---------------------------------------------------------------


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"Steam"="REM \"c:\\programme\\steam\\steam.exe\" -silent"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"CTHelper"="CTHELPER.EXE"
"iTunesHelper"="REM \"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"QuickTime Task"="REM \"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ATICCC"="REM \"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"MailScan Dispatcher"="\"C:\\Programme\\eScan\\LAUNCH.EXE\""
"eScan Updater"="C:\\PROGRA~1\\eScan\\TRAYICOS.EXE /App"
"eScan Monitor"="C:\\PROGRA~1\\eScan\\AVPMWrap.EXE"


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rlx51dom

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Usnsvc REG_MULTI_SZ usnsvc\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G]
Shell\AutoRun\command G:\CojLauncher.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{602b71c2-788e-11da-a057-806d6172696f}]
Shell\AutoRun\command D:\SETUP.EXE

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6fc7f31e-7894-11da-a3a6-806d6172696f}]
Shell\AutoRun\command D:\Bin\asusqfe.exe


-- End of ComboScan: finished at 2007-03-15 at 22:35:50 ------------------------




Und nummer zwei:
ComboScan v20070306.20 run by Rain on 2007-03-15 at 22:35:16
Supplementary logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) XP 3000+
Percentage of Memory in Use: 38%
Physical Memory (total/avail): 1023.49 MiB / 628.71 MiB
Pagefile Memory (total/avail): 2461.2 MiB / 2181.72 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1997.61 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 74.54 GiB total, 15.94 GiB free.
D: is CDROM (CDFS)
E: is CDROM (No Media)
F: is CDROM (No Media)
G: is CDROM (No Media)


-- Security Center -------------------------------------------------------------

AUOptions is disabled.
AUState says computer is ready and waiting.
Windows Internal Firewall is disabled.

FirstRunDisabled is set.



-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Rain\Anwendungsdaten
CLASSPATH=C:\Programme\QuickTime\QTSystem\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=STEFAN
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Rain
LOGONSERVER=\\STEFAN
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\QuickTime\QTSystem\;C:\Programme\ATI Technologies\ATI.ACE\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\Rain\LOKALE~1\Temp
TMP=C:\DOKUME~1\Rain\LOKALE~1\Temp
USERDOMAIN=STEFAN
USERNAME=Rain
USERPROFILE=C:\Dokumente und Einstellungen\Rain
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

Rain (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
--> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> MsiExec.exe /X{E9F81423-211E-46B6-9AE0-38568BC5CF6F}
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Download Manager 2.0 (Nur entfernen) --> "C:\Programme\Gemeinsame Dateien\Adobe\ESD\uninst.exe"
Adobe Reader 7.0.8 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70800000002}
ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> MsiExec.exe /I{34566374-6C4D-419F-A9E0-8B21CA905FD8}
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class;)ISPLAY -clean
Autostart-Manager 2006 --> MsiExec.exe /I{3B11379A-9196-4228-981A-BB255E13109E}
AVG Anti-Rootkit Beta --> C:\Programme\GRISOFT\AVG Anti-Rootkit Beta\Uninstall.exe
Azureus --> C:\Programme\Azureus\Uninstall.exe
BitTornado 0.3.10 --> C:\Programme\BitTornado\uninst.exe
Creative-Audiokonsole --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7B9AE66C-2A8F-4FB2-85D7-416AFFAE8408}\setup.exe" -l0x7 /remove
DAOC-Charplan --> "C:\Programme\DAOC-Charplan\uninstall.exe"
DAoC Portal --> MsiExec.exe /I{D611CBD6-B6D6-404D-82AE-EC12041389D6}
Dark Age of Camelot - Catacombs --> "C:\Spiele\Dark Age of Camelot - Catacombs\unins000.exe"
Dark Age of Camelot: Darkness Rising --> "C:\Spiele\Dark Age of Camelot - Catacombs\unins001.exe"
DivX --> C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Player --> C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
EAX4 Unified Redist --> MsiExec.exe /X{89661B04-C646-4412-B6D3-5E19F02F1F37}
eScan Virus Control (VC) for Windows --> C:\Programme\eScan\unins000.exe
Gamers.IRC 4.42 --> C:\Programme\Gamers.IRC\uninstall.exe
GhostMouse 2.0 --> C:\WINDOWS\uninst.exe -fC:\GMouse20\DeIsL1.isu -cC:\GMouse20\_ISREG32.DLL
GUILD WARS --> "C:\Spiele\GUILD WARS\Gw.exe" -uninstall
Guitar Pro 5.0 --> "C:\Programme\Guitar Pro 5\unins000.exe"
Half-Life(R) 2 --> MsiExec.exe /I{D45EC259-4A19-4656-B588-C2C360DD18EA}
HaxFix 4.38 --> "C:\Programme\HaxFix\unins000.exe"
HijackThis 1.99.1 --> C:\Dokumente und Einstellungen\Rain\Desktop\HijackThis.exe /uninstall
Hotfix für Windows XP (KB889527) --> "C:\WINDOWS\$NtUninstallKB889527$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB893357) --> "C:\WINDOWS\$NtUninstallKB893357$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB898900) --> "C:\WINDOWS\$NtUninstallKB898900$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB903234) --> "C:\WINDOWS\$NtUninstallKB903234$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB906569) --> "C:\WINDOWS\$NtUninstallKB906569$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB907865) --> "C:\WINDOWS\$NtUninstallKB907865$\spuninst\spuninst.exe"
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
Instant 50 Launcher 1.1 --> C:\Spiele\Dark Age of Camelot - Catacombs\Instant 50 Launcher\uninst.exe
IsoBuster 1.9 --> "C:\Programme\Smart Projects\IsoBuster\Uninst\unins000.exe"
iTunes --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{872653C6-5DDC-488B-B7C2-CF9E4D9335E5} /l1031
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket --> "C:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
mIRC --> "C:\Programme\Gamers.IRC\mirc.exe" -uninstall
Mora's Ausrüstungsplaner --> "C:\Programme\Moras\Moras\unins000.exe"
Mozilla Firefox (2.0.0.2) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
Nero 7 Demo --> MsiExec.exe /I{C93369CB-B4E9-E095-9289-E6B5AE941031}
NVIDIA Drivers --> C:\WINDOWS\system32\NVUNINST.EXE UninstallGUI
NVIDIA nForce Treiber für Windows 2000/XP --> rundll32.exe C:\WINDOWS\system32\NVNFINST.DLL,NvUninstallCrush
QuickTime --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{3868A8EE-5051-4DB0-8DF6-4F4B8A98D083} /l1031
Sicherheitsupdate für Step by Step Interactive Training (KB898458) --> "C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905915) --> "C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
SpeechRedist --> MsiExec.exe /X{8795CBED-55E2-4693-9F14-84EC446935BE}
Starcraft --> C:\WINDOWS\SCunin.exe C:\WINDOWS\SCunin.dat
Steam(TM) --> C:\PROGRA~1\Steam\UNWISE.EXE C:\PROGRA~1\Steam\INSTALL.LOG
TeamSpeak 2 RC2 --> C:\Programme\Teamspeak2_RC2\unins000.exe
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB896427) --> "C:\WINDOWS\$NtUninstallKB896427$\spuninst\spuninst.exe"
Update für Windows XP (KB897663) --> "C:\WINDOWS\$NtUninstallKB897663$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900930) --> "C:\WINDOWS\$NtUninstallKB900930$\spuninst\spuninst.exe"
Update für Windows XP (KB908521) --> "C:\WINDOWS\$NtUninstallKB908521$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Ventrilo Client --> MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
Windows Live Messenger --> MsiExec.exe /I{8DCBD4B1-DD30-4A9A-ADF7-FA3162B596C4}
Windows XP-Hotfix - KB873339 --> "C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB884883 --> "C:\WINDOWS\$NtUninstallKB884883$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885626 --> "C:\WINDOWS\$NtUninstallKB885626$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885835 --> "C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885836 --> "C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885894 --> "C:\WINDOWS\$NtUninstallKB885894$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB886185 --> "C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB886677 --> "C:\WINDOWS\$NtUninstallKB886677$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB886716 --> "C:\WINDOWS\$NtUninstallKB886716$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB887742 --> "C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB887797 --> "C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB888113 --> "C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB888302 --> "C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB889016 --> "C:\WINDOWS\$NtUninstallKB889016$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB890831 --> "C:\WINDOWS\$NtUninstallKB890831$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> "C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB896626 --> "C:\WINDOWS\$NtUninstallKB896626$\spuninst\spuninst.exe"
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe
World of Warcraft --> C:\Programme\Gemeinsame Dateien\Blizzard Entertainment\WORLD OF WARCRAFT\Uninstall.exe
xp-AntiSpy 3.95 --> C:\Programme\xp-AntiSpy\Uninstall.exe


-- End of ComboScan: finished at 2007-03-15 at 22:35:50 ------------------------





PS: Muss jetz leider ins bett arbeitet wartet... Vielen dank auf jedenfall schonmal für die grandiose hilfe heute ich werde es dann morgen wenn ich nach hause komme (13 uhr) weiter abarbeiten! Vielen vielen dank!

Gute nacht ^^

Ceo
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>
Dieser Beitrag wurde am 15.03.2007 um 22:45 Uhr von Ceofreak editiert.
Seitenanfang Seitenende
16.03.2007, 16:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Ceofreak

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

oreans32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

rlx66dob

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.03.2007, 17:52
Member

Themenstarter
Avatar Ceofreak

Beiträge: 47
#10 hi sabina!

Gesagt getan


Oreans32:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 16.03.2007 17:54:20 for strings:
; 'oreans32'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
"DeviceDesc"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control]
"ActiveService"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32]
"DisplayName"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum]
"0"="Root\\LEGACY_OREANS32\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
"DeviceDesc"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32]
"DisplayName"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000]
"Service"="oreans32"
"DeviceDesc"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control]
"ActiveService"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32]
"DisplayName"="oreans32"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum]
"0"="Root\\LEGACY_OREANS32\\0000"

; End Of The Log...




Und die rlx66dob


Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.2.0

; Results at 16.03.2007 17:55:30 for strings:
; 'rlx66dob'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RLX66DOB]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RLX66DOB\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RLX66DOB\0000]
"Service"="rlx66dob"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RLX66DOB\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rlx66dob]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rlx66dob\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rlx66dob\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rlx66dob\Enum]
"0"="Root\\LEGACY_RLX66DOB\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RLX66DOB]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RLX66DOB\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RLX66DOB\0000]
"Service"="rlx66dob"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rlx66dob]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rlx66dob\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RLX66DOB]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RLX66DOB\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RLX66DOB\0000]
"Service"="rlx66dob"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RLX66DOB\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66dob]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66dob\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66dob\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66dob\Enum]
"0"="Root\\LEGACY_RLX66DOB\\0000"

; End Of The Log...



hier bitte, vielen dank im vorraus wiedermal, freue mich auf antwort


mfg

ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>
Seitenanfang Seitenende
16.03.2007, 21:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

drivers to unload:
oreans32
rlx66dob

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rlx66dob
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rlx66dob
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66dob

Files to delete:
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\rlx66dob.sys

««
F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.03.2007, 21:36
Member

Themenstarter
Avatar Ceofreak

Beiträge: 47
#12 Hallo Sabina!

Das mit avenger ging nicht da kam ne fehlermeldung!


Hier:


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Fatal error: could not create new script file.
Error code: 0
Error logged to errorlog.txt. Aborting now!


aus der errorlog
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>
Seitenanfang Seitenende
17.03.2007, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 versuche es noch mal - ohne Zitat" und das richtige anhaken ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.03.2007, 21:59
Member

Themenstarter
Avatar Ceofreak

Beiträge: 47
#14 Hallo!

Habe das richtige angehakt sabina aber dann kommt genau dieser fehler..


Avenger.exe starten >>Input Script Manually anklicken >> auf die lupe klicken>>

drivers to unload:
oreans32
rlx66dob

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rlx66dob
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rlx66dob
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66dob

Files to delete:
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\rlx66dob.sys

reinkopieren>>done>>Grüne ampel klicken, dann kommt die fehlermeldung..


dankeschön im vorraus,

Mfg

ceo!
__________
Problem? <<www.google.de>>
Keine Lösung? <<board.protecus.de>>
Seitenanfang Seitenende
18.03.2007, 11:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Start -- Ausführen -- regedit (reinschreiben)

oben liks - bearbeiten - suchen - rlx66dob und oreans32

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rlx66dob
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rlx66dob
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RLX66DOB
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rlx66dob

------------
Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\system32\rlx66dob.sys
+
Recher neustarten

----------------------------------
noch mal:

http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

oreans32

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

rlx66dob


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: