Justin Timberlake Musik beim Hochfahren ?! |
||
|---|---|---|
| #0
| ||
|
19.03.2007, 22:17
...neu hier
Beiträge: 9 |
||
 
|
|
|
|
20.03.2007, 10:48
Ehrenmitglied
 Beiträge: 29434 |
#2
Mr.Omni
«« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen Zitat REGEDIT4«« Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Registry values to replace with dummy:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten »» scanne, stelle nach dem scan alles auf remove und poste den report http://virus-protect.org/counterspy.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2007, 12:08
...neu hier
Themenstarter Beiträge: 9 |
#3
Nach dem neustart, der bericht von Avenger:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\yijqeqfv ******************* Script file located at: \??\C:\WINDOWS\cxofdxxm.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File c:\windows\system32\ldcore.dll not found! Deletion of file c:\windows\system32\ldcore.dll failed! Could not process line: c:\windows\system32\ldcore.dll Status: 0xc0000034 File c:\windows\system32\dwdsregt.exe not found! Deletion of file c:\windows\system32\dwdsregt.exe failed! Could not process line: c:\windows\system32\dwdsregt.exe Status: 0xc0000034 File C:\WINDOWS\system32\kernels32.exe not found! Deletion of file C:\WINDOWS\system32\kernels32.exe failed! Could not process line: C:\WINDOWS\system32\kernels32.exe Status: 0xc0000034 File C:\WINDOWS\ms06846742943.exe not found! Deletion of file C:\WINDOWS\ms06846742943.exe failed! Could not process line: C:\WINDOWS\ms06846742943.exe Status: 0xc0000034 File C:\WINDOWS\system32\sysmon.exe not found! Deletion of file C:\WINDOWS\system32\sysmon.exe failed! Could not process line: C:\WINDOWS\system32\sysmon.exe Status: 0xc0000034 File C:\WINDOWS\system32\v6.exe not found! Deletion of file C:\WINDOWS\system32\v6.exe failed! Could not process line: C:\WINDOWS\system32\v6.exe Status: 0xc0000034 File C:\WINDOWS\TEMP\stdrun4.exe not found! Deletion of file C:\WINDOWS\TEMP\stdrun4.exe failed! Could not process line: C:\WINDOWS\TEMP\stdrun4.exe Status: 0xc0000034 File C:\WINDOWS\system32\em.ico deleted successfully. File C:\WINDOWS\system32\t4t.ico deleted successfully. File C:\WINDOWS\system32\prizeamerica.ico deleted successfully. File C:\WINDOWS\system32\pmp.ico deleted successfully. File C:\WINDOWS\system32\lovefreegames.ico deleted successfully. File C:\WINDOWS\ic5.exe not found! Deletion of file C:\WINDOWS\ic5.exe failed! Could not process line: C:\WINDOWS\ic5.exe Status: 0xc0000034 Folder C:\TEMP\tn3 deleted successfully. Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully. Registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{E0E899AB-F487-11D5-8D29-0050BA6940E3} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0E899AB-F487-11D5-8D29-0050BA6940E3} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E0E899AB-F487-11D5-8D29-0050BA6940E3} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E1500AC-87A5-416b-A211-82E848649DA9} not found! Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3E1500AC-87A5-416b-A211-82E848649DA9} failed! Status: 0xc0000034 Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3E1500AC-87A5-416b-A211-82E848649DA9} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3E1500AC-87A5-416b-A211-82E848649DA9} failed! Status: 0xc0000034 Registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045} not found! Deletion of registry key HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045} failed! Status: 0xc0000034 Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syswin deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32 deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{86-6C-C6-66-ZN} deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tcpipmon deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Systems deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System deleted successfully. Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ms06846742943 deleted successfully. Completed script processing. ******************* Finished! Terminate. Ich habe CounterSpy 2x drüber laufen lassen. Beim 1.mal: http://freenet-homepage.de/clan-em/counterspy.jpg wie gesagt, habe ich sie gelöscht. (den rechner habe ich nicht neugestartet) Beim 2ten mal: http://freenet-homepage.de/clan-em/counterspy2.jpg er hat nichts gefunden... Außerdem hat mir mein Virenscanner in den Scanphasen von Counterspy, dies hier gemeldet: http://freenet-homepage.de/clan-em/trojan_bild.jpg Dennoch kommen noch Pop-ups mit den inhalten "anti-spy etc." Die Musik kommt gottseidank nicht mehr. Dieser Beitrag wurde am 20.03.2007 um 12:31 Uhr von Mr.Omni editiert.
|
|
|
|
|
|
|
20.03.2007, 12:40
Ehrenmitglied
Beiträge: 29434 |
#4
Mr.Omni
«« Cleanup anwenden http://virus-protect.org/cleanup.html «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint Zitat cd\ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2007, 12:43
...neu hier
Themenstarter Beiträge: 9 |
#5
Verzeichnis von C:\Dokumente und Einstellungen\Mr.Omni\Lokale Einstellungen\Temporary Internet Files\Content.IE5
20.03.2007 12:39 <DIR> I38NIX07 20.03.2007 12:38 10.895.360 index.dat 20.03.2007 12:44 <DIR> OZY76HQX 20.03.2007 12:40 <DIR> YFU7A76F 1 Datei(en) 10.895.360 Bytes 3 Verzeichnis(se), 38.258.876.416 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 2C48-6C66 edit (Sabina) |
|
|
|
|
|
|
20.03.2007, 12:54
Ehrenmitglied
Beiträge: 29434 |
#6
1.
Avenger Zitat Folders to delete:«« http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2007, 13:18
...neu hier
Themenstarter Beiträge: 9 |
#7
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\ciufglmr ******************* Script file located at: \??\C:\tlfohfcd.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Folder C:\Dokumente und Einstellungen\Mr.Omni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I38NIX07 deleted successfully. Folder C:\Dokumente und Einstellungen\Mr.Omni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OZY76HQX deleted successfully. Folder C:\Dokumente und Einstellungen\Mr.Omni\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YFU7A76F deleted successfully. Folder C:\Temp\tn3 deleted successfully. Completed script processing. ******************* Finished! Terminate. |
|
|
|
|
|
|
20.03.2007, 13:21
Ehrenmitglied
Beiträge: 29434 |
#8
««
http://virus-protect.org/artikel/tools/sdfix.html SDFix.zip entpacken es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag ----------------------------------------------- berichte - kommen noch popups ??? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2007, 13:27
...neu hier
Themenstarter Beiträge: 9 |
#9
SDFix: Version 1.73
Run by Administrator - 20.03.2007 - 13:23:43,98 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found... ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Checking For Files with Hidden Attributes : C:\Programme\Hewlett-Packard\HP OfficeJet T Series\uninst.dll C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe Finished -------------------------------------------------------------------------- es kommen noch pop-ups  und nebenbei kann ich im abgesichertem modus nicht neustarten?! blieb jetzt 2x hängen und musste auf reset drücken.Ich bin echt am verzweifeln, komme ich denn um ein format c: nicht rum ?! Dieser Beitrag wurde am 20.03.2007 um 13:53 Uhr von Mr.Omni editiert.
|
|
|
|
|
|
|
20.03.2007, 14:39
Ehrenmitglied
Beiträge: 29434 |
#10
««
http://virus-protect.org/artikel/tools/sdfix.html im Normalmodus RunThis.bat doppelt klicken reinschreiben: 1 1 : es wird a-squared geladen 3. full scan (heuristic/riskware scanning enabled) - scanne 4. save quarantine list - poste mit 4 den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2007, 15:20
...neu hier
Themenstarter Beiträge: 9 |
#11
a-squared Command Line Scanner v. 2.1.0.27
(c) 2006 Emsi Software GmbH - www.emsisoft.com ID Object 0 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:170 detected: Trace.TrackingCookie 1 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:64 detected: Trace.TrackingCookie 2 Value: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser --> {01E04581-4EEE-11D0-BFE9-00AA005B4383} detected: Trace.Registry.LttLogger v1.0 3 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:65 detected: Trace.TrackingCookie 4 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:61 detected: Trace.TrackingCookie 5 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:37 detected: Trace.TrackingCookie 6 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:107 detected: Trace.TrackingCookie 7 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:286 detected: Trace.TrackingCookie 8 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:292 detected: Trace.TrackingCookie 9 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:63 detected: Trace.TrackingCookie 10 C:\Dokumente und Einstellungen\Mr.Omni\Cookies\mr.omni@as1.falkag[2].txt detected: Trace.TrackingCookie 11 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:134 detected: Trace.TrackingCookie 12 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:35 detected: Trace.TrackingCookie 13 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:60 detected: Trace.TrackingCookie 14 C:\Dokumente und Einstellungen\Mr.Omni\Cookies\mr.omni@computerhilfen[1].txt detected: Trace.TrackingCookie 15 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:105 detected: Trace.TrackingCookie 16 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:114 detected: Trace.TrackingCookie 17 C:\Dokumente und Einstellungen\Mr.Omni\Cookies\mr.omni@bravenet[1].txt detected: Trace.TrackingCookie 18 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:34 detected: Trace.TrackingCookie 19 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:104 detected: Trace.TrackingCookie 20 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:120 detected: Trace.TrackingCookie 21 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:278 detected: Trace.TrackingCookie 22 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:62 detected: Trace.TrackingCookie 23 C:\Dokumente und Einstellungen\Mr.Omni\Cookies\mr.omni@revenue[2].txt detected: Trace.TrackingCookie 24 C:\Dokumente und Einstellungen\Mr.Omni\Anwendungsdaten\Mozilla\Firefox\Profiles\xzsr0x60.default\cookies.txt:141 detected: Trace.TrackingCookie 25 C:\Dokumente und Einstellungen\Mr.Omni\Cookies\mr.omni@computerhilfen.de.intellitxt[1].txt detected: Trace.TrackingCookie |
|
|
|
|
|
|
20.03.2007, 15:35
Ehrenmitglied
Beiträge: 29434 |
#12
««
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {01E04581-4EEE-11D0-BFE9-00AA005B4383} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) {3E1500AC-87A5-416b-A211-82E848649DA9} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. in: "Enter search strings" (reinschreiben oder reinkopieren) {E0E899AB-F487-11D5-8D29-0050BA6940E3} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2007, 15:39
...neu hier
Themenstarter Beiträge: 9 |
#13
Windows Registry Editor Version 5.00
; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 20.03.2007 15:40:17 for strings: ; ' {01e04581-4eee-11d0-bfe9-00aa005b4383}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... --------------------------------------- Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 20.03.2007 15:42:01 for strings: ; '{3e1500ac-87a5-416b-a211-82e848649da9}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... ----------------------------------------------------- Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 20.03.2007 15:43:49 for strings: ; '{e0e899ab-f487-11d5-8d29-0050ba6940e3}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E0E899AB-F487-11D5-8D29-0050BA6940E3}] ; End Of The Log... -------------------------------------------- Sie gehen immernoch auf, darf ich fragen was das programm bringen sollte ?  Dieser Beitrag wurde am 20.03.2007 um 15:43 Uhr von Mr.Omni editiert.
|
|
|
|
|
|
|
20.03.2007, 15:40
Ehrenmitglied
Beiträge: 29434 |
#14
o.k. nun noch die anderen
 und berichte, ob die popups mittlerweile weg sind __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
20.03.2007, 16:09
...neu hier
Themenstarter Beiträge: 9 |
#15
mh, was soll ich nun machen ?!?!??!
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich lasse meinen Rechner des öfteren durch mehrere Virenscanner durchlaufen und update so oft wie es geht meine Antivirus Programme.
Nachdem ich gemerkt habe, dass mein Rechner anfing stark zu arbeiten und ich zu schauen musste wie er versucht hatte 80 Prozesse zu bearbeiten habe ich erstmal alles durchlaufen lassen, des öften (auch im abgesichertem modus) die Programme "Spybot-Search and Destroy, Lavasoft-ad-awre, Kaspersky 6.0, AVG Free Edition, Kaspersky online-scanner, a-squared Anti malware, kam ich zu dem Entschluß, dass es sich um was tiefgründiges handeln muss. Es startet sich nichts merkwürdiges mit.
Als ich dann heute wieder probiert habe die ganzen Viren zu entfernen, kam nach dem neustart meines Rechners aus dem NICHTS musik von Justin Timberlake in schlechter qualität O_o. Nachdem ich die explorer.exe beendet habe, hörte die Musik auf. Wenn ich sie wieder öffne passiert es manchmal, dass die Musik wiederkommt...
Mein zweites Problem ist, dass die Schriften meiner Desktop Elemente umrahmt sind. Es liegt definitiv am den Virus/Trojaner/Spyware, da keine Einstellung aktiv ist, die das hervorruft.
http://freenet-homepage.de/clan-em/desktop.jpg
Außerdem öffnet sich ab und zu noch Pop-ups :/
http://freenet-homepage.de/clan-em/Popup.JPG
Ich bin wirklich ratlos und weiß nicht mehr was ich machen soll, außer Format: C.
Ich bitte um euch um Hilfe.
Gruß
Omni
Logfile of HijackThis v1.99.1
Scan saved at 21:47:44, on 19.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mr.Omni\Desktop\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ofb11 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O20 - Winlogon Notify: winmmt32 - winmmt32.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
"Mr.Omni" - 07-03-19 21:59:34 Service Pack 2
ComboFix 07-03-15.2 - Running from: "C:\Dokumente und Einstellungen\Mr.Omni\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2007-02-19 to 2007-03-19 ))))))))))))))))))))))))))))))))))
2007-03-19 21:52 <DIR> d-------- C:\TEMP\tn3
2007-03-19 17:49 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
2007-03-19 17:36 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Eigene Dateien
2007-03-19 17:35 <DIR> d--hs---- C:\WINDOWS\CSC
2007-03-18 23:33 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Lavasoft
2007-03-18 20:04 <DIR> d-------- C:\DOKUME~1\LOCALS~1\ANWEND~1\Azureus
2007-03-18 18:47 1,310,720 --a------ C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-03-18 18:47 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-03-18 18:47 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen�
2007-03-18 18:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Vorlagen
2007-03-18 18:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Netzwerkumgebung
2007-03-18 18:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Lokale Einstellungen
2007-03-18 18:47 <DIR> d--h----- C:\DOKUME~1\ADMINI~1\Druckumgebung
2007-03-18 18:47 <DIR> d-------- C:\DOKUME~1\ADMINI~1\Favoriten
2007-03-18 18:35 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-03-18 17:28 72,320 --a------ C:\WINDOWS\system32\drivers\core.sys
2007-03-18 17:28 <DIR> d-------- C:\Programme\Ofb11
2007-03-11 16:10 <DIR> d-------- C:\Programme\Google Video
2007-03-02 10:13 <DIR> d-------- C:\Programme\Skype
2007-03-02 10:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-03-02 10:13 <DIR> d-------- C:\DOKUME~1\MR9F4B~1.OMN\ANWEND~1\Skype
2007-03-02 10:13 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
2007-02-27 19:50 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL
2007-02-27 19:50 45,056 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2007-02-27 19:50 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE
2007-02-27 19:50 16,877 --a------ C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-02-27 19:32 <DIR> d-------- C:\Programme\SlySoft
2007-02-27 19:28 <DIR> d-------- C:\Programme\phase6
2007-02-23 05:29 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-02-23 05:29 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-02-23 05:25 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-02-23 05:25 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-02-23 05:25 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-02-23 05:25 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-02-23 05:25 639,066 --a------ C:\WINDOWS\system32\DivX.dll
2007-02-23 05:25 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-02-23 05:25 57,344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-02-23 05:25 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-02-23 05:25 344,064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-02-23 05:25 294,912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-02-23 05:25 294,912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-02-23 05:25 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-03-18 21:40 -------- d-------- C:\Programme\emule.de 0.46c v17
2007-03-18 21:40 -------- d-------- C:\Programme\emule.de 0.46c v17
2007-03-18 18:21 -------- d-------- C:\Programme\online services
2007-03-18 18:21 -------- d-------- C:\Programme\online services
2007-03-18 18:21 -------- d-------- C:\Programme\msn gaming zone
2007-03-18 18:21 -------- d-------- C:\Programme\msn gaming zone
2007-03-07 18:18 -------- d-------- C:\Programme\icqlite
2007-03-07 18:18 -------- d-------- C:\Programme\icqlite
2007-03-02 19:05 -------- d-------- C:\Programme\divx
2007-03-02 19:05 -------- d-------- C:\Programme\divx
2007-02-23 05:29 524288 --a------ C:\WINDOWS\system32\divxsm.exe
2007-02-23 05:29 36624 -----c--- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-02-23 05:29 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-02-23 05:29 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-02-23 05:29 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-02-23 05:29 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-02-20 15:01 -------- d-------- C:\Programme\irfanview
2007-02-20 15:01 -------- d-------- C:\Programme\irfanview
2007-02-18 23:25 -------- d-------- C:\Programme\flashget
2007-02-18 23:25 -------- d-------- C:\Programme\flashget
2007-02-16 02:40 124472 --a------ C:\WINDOWS\system32\divxcodecupdatechecker.exe
2007-02-11 02:02 -------- d-------- C:\Programme\mirc
2007-02-11 02:02 -------- d-------- C:\Programme\mirc
2007-02-10 12:03 268704 --a------ C:\WINDOWS\ofb11_setup.exe
2007-02-09 13:00 -------- d-------- C:\Programme\msn messenger
2007-02-09 13:00 -------- d-------- C:\Programme\msn messenger
2007-02-08 14:36 8464 --a------ C:\WINDOWS\system32\sporder.dll
2007-02-02 05:18 60416 --a------ C:\WINDOWS\ic5.exe
2007-01-25 19:02 -------- d-------- C:\Programme\nero
2007-01-25 19:02 -------- d-------- C:\Programme\nero
2007-01-24 21:04 -------- d-------- C:\Programme\quicktime
2007-01-24 21:04 -------- d-------- C:\Programme\quicktime
2007-01-19 12:53 51056 --a------ C:\WINDOWS\system32\sirenacm.dll
2007-01-02 01:25 48354 --a--c--- C:\WINDOWS\system32\perfc007.dat
2007-01-02 01:25 316924 --a--c--- C:\WINDOWS\system32\perfh007.dat
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"JMB36X Configure"="C:\\WINDOWS\\system32\\JMRaidTool.exe boot"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.exe.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.exe.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP OfficeJet T Series-Start.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HP OfficeJet T Series-Start.lnk"
"backup"="C:\\WINDOWS\\pss\\HP OfficeJet T Series-Start.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\HPOFFI~1\\Bin\\HPOstr05.exe "
"item"="HP OfficeJet T Series-Start"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^phase6_Erinnerung.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\phase6_Erinnerung.lnk"
"backup"="C:\\WINDOWS\\pss\\phase6_Erinnerung.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\phase6\\PHASE6~1\\WinStart\\WinStart.exe "
"item"="phase6_Erinnerung"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NMBgMonitor.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ms06846742943]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ms06846742943"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\ms06846742943.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NEWDOT~1"
"hkey"="HKLM"
"command"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~1.DLL,NewDotNetStartup -s"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kernels32"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\kernels32.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Systems]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sysmon"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\sysmon.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\syswin]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="v6"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\v6.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tcpipmon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="tcpipmon"
"hkey"="HKLM"
"command"="tcpipmon.exe"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{86-6C-C6-66-ZN}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dwdsregt"
"hkey"="HKLM"
"command"="c:\\windows\\system32\\dwdsregt.exe SKY001"
"inimapping"="0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="c:\windows\system32\ldcore.dll"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Spyware Doctor"="\"C:\\Programme\\Spyware Doctor\\swdoctor.exe\" /Q"
"Microsoft Windows Installer"="C:\\WINDOWS\\TEMP\\stdrun4.exe"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source REG_SZ C:\Programme\MSN Gaming Zone\cevemumy.html
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-03-19 22:00:30
C:\ComboFix1.txt ... 07-03-19 21:57
C:\ComboFix2.txt ... 07-03-19 21:57
---------------------------------------------------------------
system32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C48-6C66
Verzeichnis von C:\WINDOWS\system32
07-03-19 21:52 54,112 vsconfig.xml
07-03-19 21:52 88,566 nvapps.xml
07-03-19 21:52 623,428 ikhcore.log
07-03-18 17:28 4,286 em.ico
07-03-18 17:28 766 t4t.ico
07-03-18 17:28 766 prizeamerica.ico
07-03-18 17:28 766 pmp.ico
07-03-18 17:28 766 lovefreegames.ico
07-03-07 11:39 2,206 wpa.dbl
07-02-23 05:29 524,288 DivXsm.exe
07-02-23 05:29 4,816 divxsm.tlb
07-02-23 05:29 10,152 dsm_de.qm
07-02-23 05:29 3,596,288 qt-dx331.dll
07-02-23 05:29 183,032 pxmas.dll
07-02-23 05:29 72,440 pxhpinst.exe
07-02-23 05:29 379,640 pxwave.dll
07-02-23 05:29 502,520 pxdrv.dll
07-02-23 05:29 1,329,912 pxsfs.dll
07-02-23 05:29 116,472 pxcpyi64.exe
07-02-23 05:29 118,520 pxinsi64.exe
07-02-23 05:29 527,096 px.dll
07-02-23 05:29 64,760 pxcpya64.exe
07-02-23 05:29 64,760 pxinsa64.exe
07-02-23 05:29 129,784 pxafs.dll
07-02-23 05:29 39,672 vxblock.dll
07-02-23 05:29 1,044,480 libdivx.dll
07-02-23 05:29 200,704 ssldivx.dll
07-02-23 05:25 73,728 dpl100.dll
07-02-23 05:25 196,608 dtu100.dll
07-02-23 05:25 53,248 dpuGUI10.dll
07-02-23 05:25 593,920 dpuGUI11.dll
07-02-23 05:25 344,064 dpus11.dll
07-02-23 05:25 57,344 dpv11.dll
07-02-23 05:25 294,912 dpu10.dll
07-02-23 05:25 294,912 dpu11.dll
07-02-23 05:25 823,296 divx_xx07.dll
07-02-23 05:25 823,296 divx_xx0c.dll
07-02-23 05:25 802,816 divx_xx11.dll
07-02-23 05:25 639,066 DivX.dll
07-02-23 05:25 679,936 divxdec.ax
07-02-16 02:40 124,472 DivXCodecUpdateChecker.exe
07-02-08 14:36 8,464 sporder.dll
07-01-19 12:53 51,056 sirenacm.dll
07-01-05 16:46 130,096 FNTCACHE.DAT
07-01-02 01:25 311,740 perfh009.dat
07-01-02 01:25 40,128 perfc009.dat
07-01-02 01:25 48,354 perfc007.dat
07-01-02 01:25 316,924 perfh007.dat
07-01-02 01:25 723,744 PerfStringBackup.INI
07-01-01 23:23 16,832 amcompat.tlb
07-01-01 23:23 23,392 nscompat.tlb
---------------------------------------------------------------
systemtemp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C48-6C66
Verzeichnis von C:\DOKUME~1\MR9F4B~1.OMN\LOKALE~1\Temp
------------------------------------------------------------------
system:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C48-6C66
Verzeichnis von C:\WINDOWS
19.03.2007 21:52 0 0.log
19.03.2007 21:52 159 wiadebug.log
19.03.2007 21:52 50 wiaservc.log
19.03.2007 21:52 2,048 bootstat.dat
19.03.2007 21:51 32,576 SchedLgU.Txt
19.03.2007 21:51 86,521 WindowsUpdate.log
19.03.2007 20:11 366,660 ntbtlog.txt
19.03.2007 19:42 227 system.ini
19.03.2007 19:42 565 win.ini
19.03.2007 17:46 83,961 wmsetup.log
19.03.2007 17:46 460 wmsetup10.log
19.03.2007 16:59 194,813 setupact.log
18.03.2007 20:18 228 HPODJC05.INI
18.03.2007 18:03 572 wininit.ini
18.03.2007 17:43 683,540 setupapi.log
17.03.2007 18:10 1,097 IE4 Error Log.txt
17.03.2007 15:38 69 NeroDigital.ini
12.03.2007 13:16 54,156 QTFont.qfn
06.03.2007 17:02 551 HPOTBX05.INI
05.03.2007 16:58 1,409 QTFont.for
28.02.2007 18:51 245 Omega Drivers Log.txt
27.02.2007 20:10 351 Clony2.ini
27.02.2007 19:54 57 ClonyDrives.ini
10.02.2007 12:03 268,704 OfB11_Setup.exe
09.02.2007 13:00 9,316 DPINST.LOG
02.02.2007 05:18 60,416 ic5.exe
12.01.2007 17:25 0 setuperr.log
09.01.2007 14:29 565 win.tmp
09.01.2007 14:29 227 system.tmp
08.01.2007 20:54 330 GEARInstall.log
05.01.2007 16:12 400 ODBC.INI
01.01.2007 23:23 316,640 WMSysPr9.prx
---------------------------------------------------------
tmp:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C48-6C66
Verzeichnis von C:\WINDOWS\Temp
19.03.2007 21:52 256 ZLT05016.TMP
19.03.2007 21:52 256 ZLT05013.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 38,797,373,440 Bytes frei
----------------------------------------------------------------
down:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C48-6C66
Verzeichnis von C:\WINDOWS\Downloaded Program Files
09.11.2006 14:36 5,019 swflash.inf
09.10.2006 15:40 65 desktop.ini
2 Datei(en) 5,084 Bytes
0 Verzeichnis(se), 38,797,373,440 Bytes frei
--------------------------------------------------------------------
sys:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2C48-6C66
Verzeichnis von C:\
19.03.2007 22:01 0 sys.txt
19.03.2007 22:01 345 down.txt
19.03.2007 22:01 327 tmp.txt
19.03.2007 22:01 6,282 system.txt
19.03.2007 22:00 140 systemtemp.txt
19.03.2007 22:00 16,620 ComboFix.txt
19.03.2007 21:59 98,271 system32.txt
19.03.2007 21:57 16,765 ComboFix1.txt
19.03.2007 21:57 16,765 ComboFix2.txt
19.03.2007 21:52 1,610,612,736 pagefile.sys
19.03.2007 19:42 211 boot.ini
30.01.2007 15:43 268 sqmdata16.sqm
30.01.2007 15:43 244 sqmnoopt16.sqm
15.01.2007 18:22 268 sqmdata15.sqm
15.01.2007 18:22 244 sqmnoopt15.sqm