Virenbefall ? Authnet.dll

#0
06.04.2007, 12:23
...neu hier

Beiträge: 3
#1 Hallo Protecus Freunde,

bin neu hier im Forum und hab da auch schon ein Problem. Ich habe auf meinem PC Antivir installiert. Dieses hat folgende Datei entdeckt: authnet.dll (TR/Click Agent IE).

Mein PC konnte ich nicht mehr benutzen, so das ich mein Backup zurückspielen mußte, dort ist diese Datei dann leider auch vorhanden. Habe mir dann Norton Internet Security 2007 gekauft. Das Programm hat aber die dll Datei nicht entfernt oder als Gefahr erkannt.

Wäre nett, wenn von Euch jemand mal mein Logfile anschaut, ob dort ein Problem zu erkennen ist und wie ich es beheben kann.

Vielen Dank im voraus.



Logfile of HijackThis v1.99.1
Scan saved at 12:04:26, on 06.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netsecurity.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Dell Photo AIO Printer 962\dlbxmon.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\BtUsrBdg.exe
C:\WINDOWS\system32\BTSetBootKey.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CleanUp XP\CleanUp.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dlbxcoms.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Extended Systems\XTNDConnect Blue Manager\btprot.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
D:\Emule\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\rtjon.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,cpqsxmw.exe,ddjfihw.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {21D9A7AC-8DB5-4D9A-BFD5-5C139C0E88D5} - (no file)
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MI1933~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [dlbxmon.exe] "C:\Programme\Dell Photo AIO Printer 962\dlbxmon.exe"
O4 - HKLM\..\Run: [ScanSoft PDF Professional 3.0-reminder] "C:\Programme\ScanSoft\PDF Professional 3.0\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft\PDF Professional\3\Ereg\ereg.ini"
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\Xscape\LOKALE~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [BTSETBOOTKEY] BTSetBootKey.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [wyedo] C:\WINDOWS\system32\bksknh.exe reg_run
O4 - HKCU\..\Run: [wmwpy] C:\WINDOWS\system32\bksknh.exe reg_run

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Quicken 2006 Zahlungserinnerung.lnk = C:\Programme\Quicken2006\billmind.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - (no file)
O9 - Extra 'Tools' menuitem: Java - {4ABF810A-F11D-4169-9D5F-7D274F2270A1} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139128532562
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MI1933~1\Office12\GR99D3~1.DLL
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: .NETSecurity - Unknown owner - C:\WINDOWS\system32\netsecurity.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: dlbx_device - Dell - C:\WINDOWS\system32\dlbxcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE


Seitenanfang Seitenende
06.04.2007, 17:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Xscape

1.
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.04.2007, 22:07
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Sabina,

vielen Dank für Deine Nachricht. Habe jetzt noch folgende Problem. CleanUp XP läßt sich nicht mehr starten und nicht mehr vollständig deinstallieren. Hast Du eine Lösung für mich.

Thanks
Seitenanfang Seitenende
06.04.2007, 23:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 dann lasse es erst mal - es gibt schlimmeres auf deinem Rechner, als das Proggie Cleanup - poste die logs
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.04.2007, 00:05
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo Sabina,

vielen Dank für die schnelle Antwort. Sieh mein PC wirklich so schlimm aus. Wäre es dann nicht besser ich installiere alles neu ?

Hier mein Files.

"Xscape" - 07-04-06 23:54:00 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\Xscape\Desktop"


((((((((((((((((((((((((((((((((((((((((((((( Qoologic's Log )))))))))))))))))))))))))))))))))))))))))))))))))))



No infected Qoologic files found. Reg entries were fixed


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\toolbar888\Uninst.exe
C:\Programme\inetget2
C:\Programme\toolbar888
C:\Programme\Gemeinsame Dateien\{544CB~1


((((((((((((((((((((((((((((((( Files Created from 2007-03-06 to 2007-04-06 ))))))))))))))))))))))))))))))))))


2007-04-06 23:43 668 --a------ C:\datFind.bat
2007-04-06 21:57 0 --a------ C:\WINDOWS\nsreg.dat
2007-04-06 21:45 <DIR> d-------- C:\WINDOWS\Prefetch
2007-03-15 17:13 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-03-15 08:10 90,112 --a------ C:\WINDOWS\system32\CActiveList.Dll
2007-03-15 08:10 692,224 --a------ C:\WINDOWS\system32\ciaResSvr20.dll
2007-03-15 08:10 57,344 --a------ C:\WINDOWS\system32\CFile.Dll
2007-03-15 08:10 53,248 --a------ C:\WINDOWS\system32\ciaXPRegSvr20.dll
2007-03-15 08:10 516,096 --a------ C:\WINDOWS\system32\WinSweep.Dll
2007-03-15 08:10 40,960 --a------ C:\WINDOWS\system32\SSubTmr6.dll
2007-03-15 08:10 40,960 --a------ C:\WINDOWS\system32\ciaSubClsSvr.dll
2007-03-15 08:10 212,992 --a------ C:\WINDOWS\system32\wodShellMenu.dll
2007-03-15 08:10 158,208 --a------ C:\WINDOWS\system32\MSCMCDE.DLL
2007-03-15 08:10 <DIR> d-------- C:\Programme\CleanUp XP
2007-03-14 21:12 <DIR> d-------- C:\Programme\Norton Internet Security
2007-03-14 21:11 48,776 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-03-14 21:11 115,000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-03-14 21:11 <DIR> d-------- C:\Programme\Symantec


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-06 21:52 85774 --a--c--- C:\WINDOWS\system32\perfc007.dat
2007-04-06 21:52 443726 --a--c--- C:\WINDOWS\system32\perfh007.dat
2007-04-06 21:50 173 ---hs---- C:\DOKUME~1\Xscape\ANWEND~1\.zreglib
2007-04-04 06:56 -------- d-------- C:\Programme\Gemeinsame Dateien\symantec shared
2007-03-19 08:14 -------- d-------- C:\Programme\microsoft activesync
2007-03-18 22:37 -------- d-------- C:\Programme\quicken2006
2007-03-18 15:24 -------- d-------- C:\Programme\emule
2007-03-15 08:38 -------- d-------- C:\Programme\winnc.net
2007-03-15 08:38 -------- d-------- C:\Programme\radiotracker
2007-03-15 08:38 -------- d-------- C:\Programme\magiciso
2007-03-15 08:38 -------- d-------- C:\Programme\lotto
2007-03-15 08:38 -------- d-------- C:\Programme\flashfxp
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-24 18:52 -------- d-------- C:\Programme\java
2007-02-24 04:16 -------- d-------- C:\Programme\msbuild
2007-02-24 04:16 -------- d-------- C:\Programme\microsoft works
2007-02-24 03:57 -------- d-------- C:\Programme\norton systemworks
2007-02-23 21:41 -------- d-------- C:\Programme\itunes art importer
2007-02-23 20:49 -------- d-------- C:\Programme\itunes
2007-02-23 20:49 -------- d-------- C:\Programme\ipod
2007-02-23 20:36 -------- d-------- C:\Programme\slysoft
2007-02-23 20:35 -------- d-------- C:\Programme\elaborate bytes
2007-01-17 22:51 3350 --ahs---- C:\WINDOWS\system32\kgygaavl.sys
2007-01-08 20:01 17408 --a------ C:\WINDOWS\system32\corpol.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"WMPNSCFG"="C:\\Programme\\Windows Media Player\\WMPNSCFG.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"NWEReboot"=""
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"dlbxmon.exe"="\"C:\\Programme\\Dell Photo AIO Printer 962\\dlbxmon.exe\""
"ScanSoft PDF Professional 3.0-reminder"="\"C:\\Programme\\ScanSoft\\PDF Professional 3.0\\Ereg\\Ereg.exe\" -r \"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\ScanSoft\\PDF Professional\\3\\Ereg\\ereg.ini\""
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe\" -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"RaidTool"="C:\\Programme\\VIA\\RAID\\raid_tool.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"BTUSRBDG"="BtUsrBdg.exe"
"BTSETBOOTKEY"="BTSetBootKey.exe"
"GrooveMonitor"="\"C:\\Programme\\Microsoft Office\\Office12\\GrooveMonitor.exe\""
"CloneCDTray"="\"C:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"QuickTime Task"="\"C:\\Programme\\K-Lite Codec Pack\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"osCheck"="\"C:\\Programme\\Norton Internet Security\\osCheck.exe\""
"CleanUp XP"="C:\\Programme\\CleanUp XP\\CleanUp.exe -h"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="Groove GFS Stub Execution Hook"
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

Cannot create file "C:\ComboFix\aa.cf". Zugriff verweigert


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

Cannot create file "C:\ComboFix\aa.cf". Zugriff verweigert


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"SystemManager"="C:\\WINDOWS\\system32\\auths.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_COMHOST


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton Internet Security - Vollst„ndige Systemprfung ausfhren - Xscape.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\SAMSIG.DLL 20480 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\samsigA6.dll 192512 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\samsigM5.dll 155648 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\samsigM6.dll 163840 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\samsigP5.dll 86016 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\samsigP6.dll 147456 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\samsigPX.dll 86016 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\samsigW7.dll 204800 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\scheduler.exe 192512 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Skins
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Skins\Default1024
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Skins\Default1280
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Skins\Default800
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Soundtrack Maker Styles
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Soundtrack Maker Styles\Classical
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Soundtrack Maker Styles\Funky
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Soundtrack Maker Styles\Relaxed
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Soundtrack Maker Styles\Spirited
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Soundtrack Maker Styles\Sportive
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\support.rtf 20480 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Takes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\thunk16.dll 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\thunk3216.dll 40960 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\2fonts bottom.tfx 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\2fonts top.tfx 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\Combination
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\credits.tfx 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\Fonts
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\growing text.tfx 12288 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\Icons
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\Moving
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\Rotation
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\subtitle big.tfx 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\subtitle small.tfx 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\ticker1.tfx 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\title.tfx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Titles\translation.ini 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\01_load.ogg 905216 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\01_load.wmv 4341760 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\02_vcleaning.ogg 761856 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\02_vcleaning.wmv 3428352 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\03_acleaning.ogg 819200 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\03_acleaning.wmv 3264512 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\04_editing.ogg 466944 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\04_editing.wmv 2097152 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\05_fades.ogg 1122304 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\05_fades.wmv 4485120 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\06_slideshow.ogg 495616 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\06_slideshow.wmv 2076672 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\07_dvdmenu.ogg 684032 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\07_dvdmenu.wmv 2789376 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\08_ode.ogg 532480 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\08_ode.wmv 2371584 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\09_storymaker.ogg 659456 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\09_storymaker.wmv 4210688 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\11_omk.ogg 933888 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\11_omk.wmv 3608576 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\12_ofa.ogg 872448 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\12_ofa.wmv 3448832 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\13_ods.ogg 606208 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\13_ods.wmv 2535424 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\14_showtimedvd.ogg 589824 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\14_showtimedvd.wmv 2252800 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\15_soundtrackmaker.ogg 1449984 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Tutorials\15_soundtrackmaker.wmv 6098944 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\uninstall.exe 131072 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\uninstall.ini 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\unwise.adf 81920 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\unwise.exe 176128 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\unwise.ini 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\UNZDLL.DLL 94208 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Validation.exe 24576 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\Validation.ini 152 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Autobelichtung.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Autofarbe.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Blur.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Color_shift.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\FISHEYE.IFX 8192 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Icons
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Kaleidoskope_static.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Mosaic.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\One click animation
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\One click optimization
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Rotate.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Sand.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Styles
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\translation.ini 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\Whirlpool.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoEffects\_NoEffect.ifx 4096 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoFX
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\VideoFX\Slideshow
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\ZIPDLL.DLL 118784 bytes
C:\MAGIX\Fotos_auf_CD_DVD_6_dlx\zlib.dll 49152 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 96

********************************************************************

Completion time: 07-04-07 0:01:56
C:\ComboFix-quarantined-files.txt ... 07-04-07 00:01


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 544C-B428

Verzeichnis von C:\WINDOWS\Downloaded Program Files

15.03.2007 18:10 2.072 vscanmsx.dat
10.03.2007 02:00 1.061 symaveng.inf
10.03.2007 02:00 32 virscant.dat
10.03.2007 02:00 4.209.380 virscan9.dat
10.03.2007 02:00 1.701.880 virscan8.dat
10.03.2007 02:00 2.504 catalog.dat
10.03.2007 02:00 7.390.298 virscan7.dat
10.03.2007 02:00 390.436 virscan6.dat
10.03.2007 02:00 3.553.061 virscan5.dat
10.03.2007 02:00 6.899 ecbootil.vxd
10.03.2007 02:00 320.186 virscan4.dat
10.03.2007 02:00 272.040 ecmsvr32.dll
10.03.2007 02:00 147.944 virscan3.dat
10.03.2007 02:00 570.174 virscan2.dat
10.03.2007 02:00 978.975 virscan1.dat
10.03.2007 02:00 106.244 virscan.inf
10.03.2007 02:00 2.261 v.sig
10.03.2007 02:00 4.778 v.grd
10.03.2007 02:00 124.536 naveng32.dll
10.03.2007 02:00 902.776 navex32a.dll
10.03.2007 02:00 3.113 tscan1hd.dat
10.03.2007 02:00 65.183 tscan1.dat
10.03.2007 02:00 97.744 scrauth.dat
10.03.2007 02:00 1.957 tinfl.dat
10.03.2007 02:00 11.875 symaveng.cat
10.03.2007 02:00 224 zdone.dat
10.03.2007 02:00 189.094 tcdefs.dat
10.03.2007 02:00 1.377.650 tcscan7.dat
10.03.2007 02:00 338.333 tcscan8.dat
10.03.2007 02:00 777.016 tcscan9.dat
10.03.2007 02:00 453 tinf.dat
10.03.2007 02:00 148 tinfidx.dat

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 544C-B428

Verzeichnis von C:\

06.04.2007 23:45 0 sys.txt
06.04.2007 23:45 2.704 down.txt
06.04.2007 23:45 2.065 tmp.txt
06.04.2007 23:44 16.472 system.txt
06.04.2007 23:44 1.912 systemtemp.txt
06.04.2007 23:43 120.786 system32.txt
06.04.2007 23:36 289 datFind.zip
06.04.2007 21:49 134.763 dlbx.log
06.04.2007 21:45 227.928 dlbxscan.log
06.04.2007 21:44 1.073.270.784 hiberfil.sys
06.04.2007 21:44 805.306.368 pagefile.sys
19.03.2007 21:00 191 mwmlog.txt
19.03.2007 08:23 30.176.975 WMDesktop.log



Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 544C-B428

Verzeichnis von C:\WINDOWS

06.04.2007 21:57 0 nsreg.dat
06.04.2007 21:55 1.566.788 WindowsUpdate.log
06.04.2007 21:49 2.118 ModemLog_Kommunikationskabel zwischen zwei Computern #2.txt
06.04.2007 21:49 5.876 ModemLog_Windigo Bluetooth DUN Modem.txt
06.04.2007 21:49 1.990 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
06.04.2007 21:48 378 SCARDSRV.INI
06.04.2007 21:47 0 0.log
06.04.2007 21:47 159 wiadebug.log
06.04.2007 21:47 50 wiaservc.log
06.04.2007 21:45 2.048 bootstat.dat
06.04.2007 20:53 32.576 SchedLgU.Txt
04.04.2007 07:51 91.855 MedCtrOC.log
04.04.2007 07:51 46.454 ehOCGen.log
04.04.2007 07:51 919.561 iis6.log
04.04.2007 07:51 1.355 imsins.log
04.04.2007 07:51 169.902 ntdtcsetup.log
04.04.2007 07:51 282.988 comsetup.log
04.04.2007 07:51 42.035 tabletoc.log
04.04.2007 07:51 379.738 tsoc.log
04.04.2007 07:51 45.345 ocmsn.log
04.04.2007 07:51 12.897 KB925902.log
04.04.2007 07:51 94.297 plusoc.log
04.04.2007 07:51 157.705 netfxocm.log
04.04.2007 07:51 396.728 ocgen.log
04.04.2007 07:51 41.350 msgsocm.log
04.04.2007 07:51 821.434 FaxSetup.log
04.04.2007 07:51 256.218 msmqinst.log
04.04.2007 07:50 188.531 updspapi.log
04.04.2007 06:56 59.233 setupapi.log
19.03.2007 20:59 1.258 QUICKEN.INI
19.03.2007 08:15 37.204 KB909394.log
15.03.2007 20:50 725 dellstat.ini
15.03.2007 20:02 1.374 imsins.BAK
15.03.2007 20:02 6.665 KB929399.log
15.03.2007 20:01 12.300 KB929338.log
15.03.2007 20:01 0 setuperr.log
10.03.2007 20:13 116 NeroDigital.ini
10.03.2007 15:07 1.409 QTFont.for
10.03.2007 15:07 54.156 QTFont.qfn
26.02.2007 23:11 77.224 wmsetup.log
24.02.2007 04:10 705 win.ini
23.02.2007 20:50 121 GEARInstall.log
23.02.2007 20:05 20.621 KB927779.log
23.02.2007 20:05 17.614 KB927802.log
23.02.2007 20:05 17.301 KB928255.log
23.02.2007 20:05 13.806 KB924667.log
23.02.2007 20:05 26.244 KB931836.log
23.02.2007 20:04 16.068 KB926436.log
23.02.2007 20:04 10.996 KB928090-IE7.log
23.02.2007 20:04 12.231 KB918118.log
23.02.2007 20:02 11.832 KB928843.log
20.01.2007 01:29 573 nsw.log
19.01.2007 20:36 27.735 KB917013.log
19.01.2007 20:35 3.701 KB915800.log
19.01.2007 20:35 26.852 KB915865.log
13.01.2007 16:44 6.537 mgxoschk.ini
13.01.2007 16:00 0 homeDVD-Fotos_dlx.INI
12.01.2007 00:18 4.356 KB929969.log
01.01.2007 16:08 327.270 setupact.log


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 544C-B428

Verzeichnis von C:\WINDOWS\system32

06.04.2007 21:52 403.968 perfh009.dat
06.04.2007 21:52 63.188 perfc009.dat
06.04.2007 21:52 443.726 perfh007.dat
06.04.2007 21:52 85.774 perfc007.dat
06.04.2007 21:52 1.010.484 PerfStringBackup.INI
06.04.2007 21:49 1.374 wpa.dbl
06.04.2007 21:47 63.184 nvapps.xml
05.04.2007 16:52 388.792 FNTCACHE.DAT
14.03.2007 21:21 48.776 S32EVNT1.DLL
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
24.02.2007 18:52 9.857 jupdate-1.5.0_11-b03.log
23.02.2007 20:05 122.142 TZLog.log
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
20.01.2007 14:52 34.308 BASSMOD.dll
17.01.2007 22:51 3.350 KGyGaAvL.sys
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 477.696 mshtmled.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe

Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 544C-B428

Verzeichnis von C:\DOKUME~1\Xscape\LOKALE~1\Temp

06.04.2007 23:43 2.784 WcesView.log
06.04.2007 23:28 720 WCESCOMM.LOG
06.04.2007 22:36 17.302 CASPERXP.LOG
06.04.2007 21:50 2.967 jusched.log
06.04.2007 21:47 908.683 WCESLog.log
06.04.2007 21:46 16.384 ~DFB8DE.tmp
06.04.2007 21:09 16.384 ~DF7589.tmp
06.04.2007 20:22 16.384 ~DF2110.tmp
05.04.2007 16:54 16.384 ~DF3A06.tmp
04.04.2007 06:46 16.384 ~DF650B.tmp
19.03.2007 20:55 16.384 ~DFBCFF.tmp
19.03.2007 08:29 16.384 ~DF4FFD.tmp
19.03.2007 08:25 45.441 WCESMgr.log
19.03.2007 08:16 630.406 ActiveSync.log
19.03.2007 08:12 16.384 ~DFB4FF.tmp
19.03.2007 08:01 16.384 ~DF36C1.tmp
19.03.2007 07:45 16.384 ~DF6419.tmp
18.03.2007 16:17 16.384 ~DF8FC4.tmp
18.03.2007 16:00 16.384 ~DF82D6.tmp
18.03.2007 15:44 16.384 ~DFDC1E.tmp
18.03.2007 15:38 16.384 ~DF7089.tmp
18.03.2007 10:14 16.384 ~DFAB44.tmp
18.03.2007 00:53 1.528 wmplog04.sqm
18.03.2007 00:51 1.560 wmplog03.sqm
18.03.2007 00:46 1.824 wmplog02.sqm
18.03.2007 00:39 1.560 wmplog01.sqm
18.03.2007 00:38 1.560 wmplog00.sqm
17.03.2007 11:14 16.384 ~DFEA75.tmp
16.03.2007 18:38 16.384 ~DFCBE0.tmp
15.03.2007 20:44 16.384 ~DF4BA.tmp
15.03.2007 08:40 36.389 GimmeSetup(2007031507384714D4).log
15.03.2007 08:38 6.439 SetupExe(2007031507384214D4).log


Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 544C-B428

Verzeichnis von C:\WINDOWS\Temp

06.04.2007 23:28 255 WGAErrLog.txt
06.04.2007 21:49 409 WGANotify.settings
16.03.2007 22:18 4.752.219 00000570


Gruß
Xscape
Seitenanfang Seitenende
07.04.2007, 13:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Xscape

««
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

.NETSecurity

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

«
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\authnet.dll
C:\WINDOWS\system32\netsecurity.exe


poste die reporte

--------------------------------------------------------------------
eventuell sind einige eintraege nicht mehr vorhanden
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

F2 - REG:system.ini: Shell=Explorer.exe, C:\WINDOWS\system32\rtjon.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,cpqsxmw.exe,ddjfihw.exe

O2 - BHO: (no name) - {21D9A7AC-8DB5-4D9A-BFD5-5C139C0E88D5} - (no file)

O3 - Toolbar: (no name) - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - (no file)

O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOKUME~1\Xscape\LOKALE~1\Temp\svchost.exe 1

O4 - HKCU\..\Run: [wyedo] C:\WINDOWS\system32\bksknh.exe reg_run

O4 - HKCU\..\Run: [wmwpy] C:\WINDOWS\system32\bksknh.exe reg_run
-----------------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\run|CleanUp XP
HKLM\software\microsoft\windows\currentversion\run|WindowsServicesStartup
HKLM\software\microsoft\windows\currentversion\policies\explorer\Run|SystemManager

Files to delete:
C:\WINDOWS\system32\ddjfihw.exe
C:\WINDOWS\system32\auths.exe
C:\WINDOWS\system32\bksknh.exe
C:\WINDOWS\system32\bksknh.exe
C:\WINDOWS\system32\rtjon.exe
C:\WINDOWS\system32\cpqsxmw.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


««
scanne mit Qoofix 1.03
http://virus-protect.org/artikel/tools/quofixhttp.html
poste den scanreport

««
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: