Home » Viren, Trojaner & Malware Forum » DriveCleaner Popup & icq-Suche Popup » Themenansicht

DriveCleaner Popup & icq-Suche Popup
#0
07.04.2007, 18:52
ville
...neu hier

Beiträge: 10
#1 hallo, ich werde seit einiger zeit mit nem nervigen popup belästigt
dann öffnet sich internet explorer (ich nutze eigentlich nur firefox) mit der seite drivecleaner.com und dass ich irgendwas installieren soll, nervt ziemlich

ich hab mal in msconfig bei den autostarts geschaut und da war so eine komische datei namens "osvwndbi.dll"
hab diesen eintrag dann deaktiviert und Spybot Search& destroy laufen lassen, der auch 100 einträge gefunden hat. dann kam das popup auch nicht mehr

aber, jetzt am nächsten tag ist schon wieder der eintrag in msconfig ( ein etwas anderer dateiname),

außerdem öffnet sich manchmal der IE mit der Seite von ICQ-Search, wo dann bei der suche automatisch irgend eine IP-adresse angegeben ist, also so als ob ich bei der suche eine IP adresse angegeben hätte :S

kann man da irgendwas machen?

PS: ich hab auch avast virenscanner, hab ich auch laufen lassen, und hat ca. 10 viren gefunden, die jetzt in so nem container sind



hier ist noch ein hijackthis.log

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 18:48:25, on 07.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
E:\WINDOWS\System32\svchost.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\Programme\Razr\razertra.exe
C:\Programme\Razr\razerhid.exe
C:\Programme\MSN Messenger\msnmsgr.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://carom3d.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 62.141.38.229:3128
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razr\razertra.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: www.icq.com
O15 - Trusted Zone: *.icq.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169574769591
O17 - HKLM\System\CCS\Services\Tcpip\..\{5325B13C-3A1F-42C9-B7ED-4306AD5247EA}: NameServer = 212.18.3.5 212.18.0.5
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast4\ashWebSv.exe" /service (file missing)
Seitenanfang Seitenende
07.04.2007, 19:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ville

«
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

«
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

«
poste dieses log hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2007, 13:38
ville
...neu hier

Themenstarter

Beiträge: 10
#3 combofix.log

Zitat

"michi" - 07-04-08 13:27:41 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\desktop"


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


"E:\WINDOWS\system32\sstqo.dll"


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


E:\WINDOWS\system32\.exe
C:\Programme\outlook\p.zip
C:\desktop.\internet explorer.lnk
C:\Programme\outlook


((((((((((((((((((((((((((((((( Files Created from 2007-03-08 to 2007-04-08 ))))))))))))))))))))))))))))))))))


2007-04-08 13:29 48,708 --a------ E:\WINDOWS\system32\blslunxl.dll
2007-04-07 17:11 22,144 --a------ E:\WINDOWS\system32\drivers\dadder.sys
2007-04-07 17:11 162,900 --------- E:\WINDOWS\system32\drivers\USBICP.sys
2007-04-07 16:10 123,972 --a------ E:\WINDOWS\system32\osvwndbi.dll
2007-04-06 16:08 123,972 --a------ E:\WINDOWS\system32\jxndvyqg.dll
2007-04-05 20:40 55,568 --a------ E:\DOKUME~1\michi\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-04-05 20:20 <DIR> d-------- E:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-04-05 17:47 <DIR> d-------- E:\DOKUME~1\steffi\ANWEND~1\ICQ Toolbar
2007-04-05 14:34 <DIR> d-------- E:\WINDOWS\system32\de-de
2007-04-05 14:31 <DIR> d-------- E:\WINDOWS\network diagnostic
2007-04-05 14:10 <DIR> d-------- E:\WINDOWS\Prefetch
2007-04-05 13:56 95,424 --------- E:\WINDOWS\system32\drivers\slnthal.sys
2007-04-05 13:56 9,728 --------- E:\WINDOWS\system32\proxycfg.exe
2007-04-05 13:56 88,064 --------- E:\WINDOWS\system32\p2pnetsh.dll
2007-04-05 13:56 870,784 --------- E:\WINDOWS\system32\ati3d1ag.dll
2007-04-05 13:56 86,016 --------- E:\WINDOWS\system32\p2pgasvc.dll
2007-04-05 13:56 86,016 --------- E:\WINDOWS\system32\mdmxsdk.dll
2007-04-05 13:56 81,408 --------- E:\WINDOWS\system32\wscsvc.dll
2007-04-05 13:56 8,192 --------- E:\WINDOWS\system32\smbinst.exe
2007-04-05 13:56 78,464 --------- E:\WINDOWS\system32\drivers\usbvideo.sys
2007-04-05 13:56 78,336 --a------ E:\WINDOWS\system32\ieencode.dll
2007-04-05 13:56 755,200 --------- E:\WINDOWS\system32\ir50_32.dll
2007-04-05 13:56 75,776 --------- E:\WINDOWS\system32\strmfilt.dll
2007-04-05 13:56 73,832 --------- E:\WINDOWS\system32\slcoinst.dll
2007-04-05 13:56 73,796 --------- E:\WINDOWS\system32\slserv.exe
2007-04-05 13:56 73,216 --------- E:\WINDOWS\system32\drivers\atintuxx.sys
2007-04-05 13:56 71,680 --------- E:\WINDOWS\system32\blastcln.exe
2007-04-05 13:56 7,680 --------- E:\WINDOWS\system32\kbdsmsno.dll
2007-04-05 13:56 7,680 --------- E:\WINDOWS\system32\kbdsmsfi.dll
2007-04-05 13:56 7,168 --------- E:\WINDOWS\system32\kbdukx.dll
2007-04-05 13:56 7,168 --------- E:\WINDOWS\system32\kbdno1.dll
2007-04-05 13:56 7,168 --------- E:\WINDOWS\system32\kbdfi1.dll
2007-04-05 13:56 685,056 --------- E:\WINDOWS\system32\drivers\hsfcxts2.sys
2007-04-05 13:56 67,584 --------- E:\WINDOWS\system32\drivers\sdbus.sys
2007-04-05 13:56 63,663 --------- E:\WINDOWS\system32\drivers\ati1rvxx.sys
2007-04-05 13:56 63,488 --------- E:\WINDOWS\system32\drivers\atinxsxx.sys
2007-04-05 13:56 61,440 --------- E:\WINDOWS\system32\logman.exe
2007-04-05 13:56 60,416 --------- E:\WINDOWS\system32\fwcfg.dll
2007-04-05 13:56 6,656 --------- E:\WINDOWS\system32\kbdinmal.dll
2007-04-05 13:56 6,656 --------- E:\WINDOWS\system32\kbdinben.dll
2007-04-05 13:56 6,144 --------- E:\WINDOWS\system32\kbdmlt48.dll
2007-04-05 13:56 6,144 --------- E:\WINDOWS\system32\kbdmlt47.dll
2007-04-05 13:56 6,144 --------- E:\WINDOWS\system32\kbdinbe1.dll
2007-04-05 13:56 6,016 --------- E:\WINDOWS\system32\drivers\smbali.sys
2007-04-05 13:56 59,648 --------- E:\WINDOWS\system32\drivers\rfcomm.sys
2007-04-05 13:56 57,856 --------- E:\WINDOWS\system32\drivers\atinbtxx.sys
2007-04-05 13:56 56,623 --------- E:\WINDOWS\system32\drivers\ati1btxx.sys
2007-04-05 13:56 526,848 --------- E:\WINDOWS\system32\p2psvc.dll
2007-04-05 13:56 52,224 --------- E:\WINDOWS\system32\drivers\atinraxx.sys
2007-04-05 13:56 50,688 --------- E:\WINDOWS\system32\btpanui.dll
2007-04-05 13:56 50,176 --------- E:\WINDOWS\system32\xmlprovi.dll
2007-04-05 13:56 5,632 --------- E:\WINDOWS\system32\kbdmaori.dll
2007-04-05 13:56 49,152 --------- E:\WINDOWS\system32\powercfg.exe
2007-04-05 13:56 48,640 --------- E:\WINDOWS\system32\pnrpnsp.dll
2007-04-05 13:56 46,464 --------- E:\WINDOWS\system32\drivers\gagp30kx.sys
2007-04-05 13:56 452,736 --------- E:\WINDOWS\system32\drivers\mtxparhm.sys
2007-04-05 13:56 44,928 --------- E:\WINDOWS\system32\drivers\agpcpq.sys
2007-04-05 13:56 44,672 --------- E:\WINDOWS\system32\drivers\uagp35.sys
2007-04-05 13:56 44,032 --------- E:\WINDOWS\system32\twext.dll
2007-04-05 13:56 43,008 --------- E:\WINDOWS\system32\drivers\amdagp.sys
2007-04-05 13:56 42,752 --------- E:\WINDOWS\system32\drivers\alim1541.sys
2007-04-05 13:56 42,240 --------- E:\WINDOWS\system32\drivers\viaagp.sys
2007-04-05 13:56 41,088 --------- E:\WINDOWS\system32\drivers\sisagp.sys
2007-04-05 13:56 404,990 --------- E:\WINDOWS\system32\drivers\slntamr.sys
2007-04-05 13:56 40,192 --------- E:\WINDOWS\system32\drivers\intelppm.sys
2007-04-05 13:56 4,274,816 --------- E:\WINDOWS\system32\nv4_disp.dll
2007-04-05 13:56 4,255 --------- E:\WINDOWS\system32\drivers\adv01nt5.dll
2007-04-05 13:56 397,056 --------- E:\WINDOWS\system32\s3gnb.dll
2007-04-05 13:56 38,016 --------- E:\WINDOWS\system32\drivers\bthmodem.sys
2007-04-05 13:56 377,984 --------- E:\WINDOWS\system32\ati2dvaa.dll
2007-04-05 13:56 36,463 --------- E:\WINDOWS\system32\drivers\ati1tuxx.sys
2007-04-05 13:56 35,456 --------- E:\WINDOWS\system32\drivers\bthprint.sys
2007-04-05 13:56 34,735 --------- E:\WINDOWS\system32\drivers\ati1xsxx.sys
2007-04-05 13:56 338,432 --------- E:\WINDOWS\system32\ir41_qcx.dll
2007-04-05 13:56 327,168 --------- E:\WINDOWS\system32\drivers\ati2mtaa.sys
2007-04-05 13:56 32,866 --------- E:\WINDOWS\system32\slrundll.exe
2007-04-05 13:56 32,866 --------- E:\WINDOWS\slrundll.exe
2007-04-05 13:56 32,768 --------- E:\WINDOWS\system32\ativtmxx.dll
2007-04-05 13:56 32,285 --------- E:\WINDOWS\system32\hsfcisp2.dll
2007-04-05 13:56 312,320 --------- E:\WINDOWS\system32\p2pgraph.dll
2007-04-05 13:56 310,272 --------- E:\WINDOWS\system32\mp43dmod.dll
2007-04-05 13:56 31,744 --------- E:\WINDOWS\system32\drivers\atinxbxx.sys
2007-04-05 13:56 30,671 --------- E:\WINDOWS\system32\drivers\ati1raxx.sys
2007-04-05 13:56 30,208 --------- E:\WINDOWS\system32\bthserv.dll
2007-04-05 13:56 30,080 --------- E:\WINDOWS\system32\drivers\rndismpx.sys
2007-04-05 13:56 3,967 --------- E:\WINDOWS\system32\drivers\adv02nt5.dll
2007-04-05 13:56 3,901 --------- E:\WINDOWS\system32\drivers\siint5.dll
2007-04-05 13:56 3,775 --------- E:\WINDOWS\system32\drivers\adv11nt5.dll
2007-04-05 13:56 3,711 --------- E:\WINDOWS\system32\drivers\adv09nt5.dll
2007-04-05 13:56 3,647 --------- E:\WINDOWS\system32\drivers\adv07nt5.dll
2007-04-05 13:56 3,615 --------- E:\WINDOWS\system32\drivers\adv05nt5.dll
2007-04-05 13:56 3,135 --------- E:\WINDOWS\system32\drivers\adv08nt5.dll
2007-04-05 13:56 29,455 --------- E:\WINDOWS\system32\drivers\ati1xbxx.sys
2007-04-05 13:56 29,184 --------- E:\WINDOWS\system32\sdhcinst.dll
2007-04-05 13:56 29,056 --------- E:\WINDOWS\system32\drivers\ip6fw.sys
2007-04-05 13:56 286,792 --------- E:\WINDOWS\system32\slextspk.dll
2007-04-05 13:56 28,672 --------- E:\WINDOWS\system32\drivers\atinsnxx.sys
2007-04-05 13:56 275,200 --------- E:\WINDOWS\system32\drivers\bthport.sys
2007-04-05 13:56 262,784 --------- E:\WINDOWS\system32\drivers\http.sys
2007-04-05 13:56 26,367 --------- E:\WINDOWS\system32\drivers\ati1snxx.sys
2007-04-05 13:56 25,856 --------- E:\WINDOWS\system32\drivers\hidbth.sys
2007-04-05 13:56 25,471 --------- E:\WINDOWS\system32\drivers\watv10nt.sys
2007-04-05 13:56 25,471 --------- E:\WINDOWS\system32\drivers\atv04nt5.dll
2007-04-05 13:56 24,576 --------- E:\WINDOWS\system32\httpapi.dll
2007-04-05 13:56 233,472 --------- E:\WINDOWS\system32\wmpdxm.dll
2007-04-05 13:56 23,040 --a------ E:\WINDOWS\system32\fltmc.exe
2007-04-05 13:56 220,032 --------- E:\WINDOWS\system32\drivers\hsfbs2s2.sys
2007-04-05 13:56 22,271 --------- E:\WINDOWS\system32\drivers\watv06nt.sys
2007-04-05 13:56 21,343 --------- E:\WINDOWS\system32\drivers\ati1ttxx.sys
2007-04-05 13:56 21,183 --------- E:\WINDOWS\system32\drivers\atv01nt5.dll
2007-04-05 13:56 202,752 --------- E:\WINDOWS\system32\wmerror.dll
2007-04-05 13:56 200,192 --------- E:\WINDOWS\system32\ir50_qc.dll
2007-04-05 13:56 20,992 --------- E:\WINDOWS\system32\bthci.dll
2007-04-05 13:56 193,024 --------- E:\WINDOWS\system32\fsquirt.exe
2007-04-05 13:56 188,508 --------- E:\WINDOWS\system32\slgen.dll
2007-04-05 13:56 183,808 --------- E:\WINDOWS\system32\ir50_qcx.dll
2007-04-05 13:56 180,360 --------- E:\WINDOWS\system32\drivers\ntmtlfax.sys
2007-04-05 13:56 18,944 --------- E:\WINDOWS\system32\drivers\bthusb.sys
2007-04-05 13:56 17,408 --------- E:\WINDOWS\system32\winshfhc.dll
2007-04-05 13:56 17,279 --------- E:\WINDOWS\system32\drivers\atv10nt5.dll
2007-04-05 13:56 17,024 --------- E:\WINDOWS\system32\drivers\bthenum.sys
2007-04-05 13:56 166,912 --------- E:\WINDOWS\system32\drivers\s3gnbm.sys
2007-04-05 13:56 16,896 --a------ E:\WINDOWS\system32\fltlib.dll
2007-04-05 13:56 15,872 --------- E:\WINDOWS\system32\w3ssl.dll
2007-04-05 13:56 15,488 --------- E:\WINDOWS\system32\drivers\mssmbios.sys
2007-04-05 13:56 15,423 --------- E:\WINDOWS\system32\drivers\ch7xxnt5.dll
2007-04-05 13:56 15,104 --------- E:\WINDOWS\system32\drivers\hidir.sys
2007-04-05 13:56 14,336 --------- E:\WINDOWS\system32\drivers\atinpdxx.sys
2007-04-05 13:56 14,336 --------- E:\WINDOWS\system32\auditusr.exe
2007-04-05 13:56 14,143 --------- E:\WINDOWS\system32\drivers\atv06nt5.dll
2007-04-05 13:56 13,824 --------- E:\WINDOWS\system32\wscntfy.exe
2007-04-05 13:56 13,824 --------- E:\WINDOWS\system32\drivers\atinttxx.sys
2007-04-05 13:56 13,824 --------- E:\WINDOWS\system32\drivers\atinmdxx.sys
2007-04-05 13:56 13,824 --------- E:\WINDOWS\system32\cmsetacl.dll
2007-04-05 13:56 13,776 --------- E:\WINDOWS\system32\drivers\recagent.sys
2007-04-05 13:56 13,568 --------- E:\WINDOWS\system32\drivers\wacompen.sys
2007-04-05 13:56 13,240 --------- E:\WINDOWS\system32\drivers\slwdmsup.sys
2007-04-05 13:56 129,536 --------- E:\WINDOWS\system32\xmlprov.dll
2007-04-05 13:56 129,535 --------- E:\WINDOWS\system32\drivers\slnt7554.sys
2007-04-05 13:56 128,896 --------- E:\WINDOWS\system32\drivers\fltmgr.sys
2007-04-05 13:56 126,686 --------- E:\WINDOWS\system32\drivers\mtlmnt5.sys
2007-04-05 13:56 120,320 --------- E:\WINDOWS\system32\ir41_qc.dll
2007-04-05 13:56 12,672 --------- E:\WINDOWS\system32\drivers\usb8023x.sys
2007-04-05 13:56 12,672 --------- E:\WINDOWS\system32\drivers\mutohpen.sys
2007-04-05 13:56 12,047 --------- E:\WINDOWS\system32\drivers\ati1pdxx.sys
2007-04-05 13:56 118,784 --------- E:\WINDOWS\system32\msdadiag.dll
2007-04-05 13:56 116,224 --------- E:\WINDOWS\system32\p2p.dll
2007-04-05 13:56 114,688 --------- E:\WINDOWS\system32\wmpasf.dll
2007-04-05 13:56 11,935 --------- E:\WINDOWS\system32\drivers\wadv11nt.sys
2007-04-05 13:56 11,871 --------- E:\WINDOWS\system32\drivers\wadv09nt.sys
2007-04-05 13:56 11,868 --------- E:\WINDOWS\system32\drivers\mdmxsdk.sys
2007-04-05 13:56 11,807 --------- E:\WINDOWS\system32\drivers\wadv07nt.sys
2007-04-05 13:56 11,615 --------- E:\WINDOWS\system32\drivers\ati1mdxx.sys
2007-04-05 13:56 11,359 --------- E:\WINDOWS\system32\drivers\atv02nt5.dll
2007-04-05 13:56 11,325 --------- E:\WINDOWS\system32\drivers\vchnt5.dll
2007-04-05 13:56 11,295 --------- E:\WINDOWS\system32\drivers\wadv08nt.sys
2007-04-05 13:56 11,136 --------- E:\WINDOWS\system32\drivers\sffdisk.sys
2007-04-05 13:56 108,032 --------- E:\WINDOWS\system32\wshbth.dll
2007-04-05 13:56 104,960 --------- E:\WINDOWS\system32\drivers\atinrvxx.sys
2007-04-05 13:56 100,992 --------- E:\WINDOWS\system32\drivers\bthpan.sys
2007-04-05 13:56 10,240 --------- E:\WINDOWS\system32\drivers\sffp_sd.sys
2007-04-05 13:56 1,897,408 --------- E:\WINDOWS\system32\drivers\nv4_mini.sys
2007-04-05 13:56 1,737,856 --------- E:\WINDOWS\system32\mtxparhd.dll
2007-04-05 13:56 1,309,184 --------- E:\WINDOWS\system32\drivers\mtlstrm.sys
2007-04-05 13:56 1,041,536 --------- E:\WINDOWS\system32\drivers\hsfdpsp2.sys
2007-04-05 13:56 <DIR> d-------- E:\WINDOWS\provisioning
2007-04-05 13:56 <DIR> d-------- E:\WINDOWS\peernet
2007-04-05 13:55 94,208 --a------ E:\WINDOWS\system32\evntwin.exe
2007-04-05 13:55 7,168 --a------ E:\WINDOWS\system32\fxsres.dll
2007-04-05 13:55 6,144 --a------ E:\WINDOWS\system32\snmpmib.dll
2007-04-05 13:55 400,896 --a------ E:\WINDOWS\system32\fxsxp32.dll
2007-04-05 13:55 39,936 --a------ E:\WINDOWS\system32\hostmib.dll
2007-04-05 13:55 285,184 --a------ E:\WINDOWS\system32\fxscomex.dll
2007-04-05 13:55 268,800 --a------ E:\WINDOWS\system32\fxssvc.exe
2007-04-05 13:55 26,112 --a------ E:\WINDOWS\system32\evntcmd.exe
2007-04-05 13:55 246,272 --a------ E:\WINDOWS\system32\fxst30.dll
2007-04-05 13:55 23,552 --a------ E:\WINDOWS\system32\fxsmon.dll
2007-04-05 13:55 23,552 --a------ E:\WINDOWS\system32\fxsext32.dll
2007-04-05 13:54 8,704 --a------ E:\WINDOWS\system32\snmptrap.exe
2007-04-05 13:54 8,704 --a------ E:\WINDOWS\system32\fxsperf.dll
2007-04-05 13:54 72,192 --a------ E:\WINDOWS\system32\fxscom.dll
2007-04-05 13:54 64,000 --a------ E:\WINDOWS\system32\fxsevent.dll
2007-04-05 13:54 563,200 --a------ E:\WINDOWS\system32\fxsst.dll
2007-04-05 13:54 452,096 --a------ E:\WINDOWS\system32\fxsapi.dll
2007-04-05 13:54 397,312 --a------ E:\WINDOWS\system32\fxstiff.dll
2007-04-05 13:54 32,768 --a------ E:\WINDOWS\system32\snmp.exe
2007-04-05 13:54 235,520 --a------ E:\WINDOWS\system32\fxscover.exe
2007-04-05 13:54 195,584 --a------ E:\WINDOWS\system32\fxswzrd.dll
2007-04-05 13:54 155,648 --a------ E:\WINDOWS\system32\fxsui.dll
2007-04-05 13:53 33,792 --a------ E:\WINDOWS\system32\lmmib2.dll
2007-04-05 13:53 27,136 --a------ E:\WINDOWS\system32\fxsdrv.dll
2007-04-05 13:53 143,360 --a------ E:\WINDOWS\system32\fxsclnt.exe
2007-04-05 13:53 108,032 --a------ E:\WINDOWS\system32\evntagnt.dll
2007-04-05 13:53 <DIR> d-------- E:\WINDOWS\ServicePackFiles
2007-04-05 13:47 <DIR> d-------- E:\WINDOWS\EHome
2007-04-05 13:36 123,972 --a------ E:\WINDOWS\system32\ygctmkym.dll
2007-04-05 13:30 262,144 --a------ E:\DOKUME~1\ALLUSE~1\ntuser.dat
2007-04-05 13:13 614,912 --a------ E:\WINDOWS\system32\h323msp.dll
2007-04-05 13:13 40,960 --a------ E:\WINDOWS\system32\mf3216.dll
2007-04-05 13:13 334,336 --a------ E:\WINDOWS\system32\ipnathlp.dll
2007-04-05 13:13 26,112 --a------ E:\WINDOWS\system32\xpsp1hfm.exe
2007-04-05 13:05 1,094,144 --a------ E:\WINDOWS\system32\esent.dll
2007-04-03 22:36 511,440 ---hs---- E:\WINDOWS\system32\oqtss.bak2
2007-04-03 22:36 132,116 --a------ E:\WINDOWS\system32\begswkvg.dll
2007-04-02 20:21 26,694 --a------ E:\WINDOWS\system32\rqrpnki.dll
2007-04-02 19:54 26,694 --a------ E:\WINDOWS\system32\fccayab.dll
2007-04-02 19:08 26,694 --a------ E:\WINDOWS\system32\urqnmjk.dll
2007-04-02 19:04 26,694 --a------ E:\WINDOWS\system32\gebaxxv.dll
2007-04-02 18:54 495,547 ---hs---- E:\WINDOWS\system32\oqtss.bak1
2007-04-02 18:54 123,972 --a------ E:\WINDOWS\system32\lghdfolt.dll
2007-04-02 18:48 26,694 --a------ E:\WINDOWS\system32\hgggdcd.dll
2007-03-26 18:24 54,792 --a------ E:\DOKUME~1\MATTHI~1\ANWEND~1\GDIPFONTCACHEV1.DAT
2007-03-23 17:28 <DIR> d-------- E:\WINDOWS\system32\oodag
2007-03-21 17:39 4,239,360 --a------ E:\WINDOWS\system32\qtp-mt334.dll
2007-03-21 17:39 30,808 --a------ E:\WINDOWS\system32\drivers\hotcore2.sys
2007-03-20 19:17 68,888 --a------ E:\WINDOWS\system32\xinput1_3.dll
2007-03-20 19:17 62,744 --a------ E:\WINDOWS\system32\xinput1_2.dll
2007-03-20 19:17 3,426,072 --a------ E:\WINDOWS\system32\d3dx9_32.dll
2007-03-20 19:17 251,672 --a------ E:\WINDOWS\system32\xactengine2_5.dll
2007-03-20 19:17 237,848 --a------ E:\WINDOWS\system32\xactengine2_4.dll
2007-03-20 19:17 236,824 --a------ E:\WINDOWS\system32\xactengine2_3.dll
2007-03-20 19:17 2,414,360 --a------ E:\WINDOWS\system32\d3dx9_31.dll
2007-03-20 19:17 15,128 --a------ E:\WINDOWS\system32\x3daudio1_1.dll
2007-03-17 14:31 <DIR> d-------- E:\DOKUME~1\michi\ANWEND~1\foobar2000
2007-03-17 12:51 <DIR> d-------- E:\DOKUME~1\MATTHI~1\ANWEND~1\Apple Computer
2007-03-17 12:24 892,928 --a------ E:\WINDOWS\system32\NCTAudioInformation.dll
2007-03-17 12:24 647,168 --a------ E:\WINDOWS\system32\NCTAudioLibrary.dll
2007-03-17 12:24 384,512 --a------ E:\WINDOWS\system32\mp4sdmod.dll
2007-03-17 12:24 335,872 --a------ E:\WINDOWS\system32\NCTAudioVisualization2.dll
2007-03-17 12:24 327,680 --a------ E:\WINDOWS\system32\NCTAudioGrabber.dll
2007-03-17 12:24 315,392 --a------ E:\WINDOWS\system32\NCTAudioPlayer2.dll
2007-03-17 12:24 307,200 --a------ E:\WINDOWS\system32\NCTAudioRecord2.dll
2007-03-17 12:24 196,608 --a------ E:\WINDOWS\system32\NCTWMAFile2.dll
2007-03-17 12:24 101,888 --a------ E:\WINDOWS\system32\VB6STKIT.DLL
2007-03-17 12:24 1,839,104 --a------ E:\WINDOWS\system32\NCTAudioFile2.dll
2007-03-17 12:24 1,662,976 --a------ E:\WINDOWS\system32\NCTAudioCompress2.dll
2007-03-17 12:21 413,760 --a------ E:\WINDOWS\system32\mpg4c32.dll
2007-03-12 17:20 24 --a------ E:\WINDOWS\system32\sysmwwod.dll
2007-03-12 17:19 360,448 --a------ E:\WINDOWS\system32\NCTWMAFile.dll
2007-03-12 17:19 237,568 --a------ E:\WINDOWS\system32\lame_enc.dll
2007-03-12 17:19 1,703,936 --a------ E:\WINDOWS\system32\NCTAudioFile.dll
2007-03-12 17:13 22,528 --a------ E:\WINDOWS\system32\WNASPI32.DLL
2007-03-12 17:13 16,512 --a------ E:\WINDOWS\system32\drivers\ASPI32.SYS
2007-03-12 12:10 <DIR> d-------- E:\DOKUME~1\DATTE&~1\ANWEND~1\AdobeUM
2007-03-10 12:58 <DIR> d-------- E:\DOKUME~1\DATTE&~1\ANWEND~1\Adobe
2007-03-08 17:16 7,552 --a------ E:\WINDOWS\system32\drivers\enodpl.sys
2007-03-08 17:16 4,736 --a------ E:\WINDOWS\system32\drivers\tandpl.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-08 13:19 791 --a------ E:\system32.txt
2007-04-08 13:19 791 --a------ E:\system32.txt
2007-04-08 13:19 791 --a------ E:\sys.txt
2007-04-08 13:19 791 --a------ E:\sys.txt
2007-04-08 13:18 791 --a------ E:\tmp.txt
2007-04-08 13:18 791 --a------ E:\tmp.txt
2007-04-08 13:18 791 --a------ E:\systemtemp.txt
2007-04-08 13:18 791 --a------ E:\systemtemp.txt
2007-04-08 13:18 791 --a------ E:\system.txt
2007-04-08 13:18 791 --a------ E:\system.txt
2007-04-08 13:18 791 --a------ E:\down.txt
2007-04-08 13:18 791 --a------ E:\down.txt
2007-04-08 13:10 74996 --a------ E:\WINDOWS\system32\perfc007.dat
2007-04-08 13:10 415470 --a------ E:\WINDOWS\system32\perfh007.dat
2007-04-08 13:08 -------- d-------- E:\windows
2007-04-08 13:08 -------- d-------- E:\windows
2007-04-05 14:10 -------- d--hs---- E:\system volume information
2007-04-05 14:10 -------- d--hs---- E:\system volume information
2007-03-20 21:32 108144 --a------ E:\WINDOWS\system32\cmdlineext.dll
2007-03-20 14:21 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\utorrent
2007-03-11 17:54 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\ppstream
2007-03-08 17:36 579072 --a------ E:\WINDOWS\system32\user32.dll
2007-03-08 17:36 281600 --a------ E:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ E:\WINDOWS\system32\win32k.sys
2007-03-03 11:33 -------- d--hs---- E:\recycler
2007-03-03 11:33 -------- d--hs---- E:\recycler
2007-02-28 22:39 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\imgburn
2007-02-20 22:29 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\sopcast
2007-02-19 21:23 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\teamspeak2
2007-02-17 18:30 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\help
2007-02-15 17:15 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\real
2007-02-15 14:45 707344 --a------ E:\WINDOWS\system32\oodag.exe
2007-02-15 14:34 217360 --a------ E:\WINDOWS\system32\oodbs.exe
2007-02-15 14:25 11536 --a------ E:\WINDOWS\system32\oodbsrs.dll
2007-02-15 14:24 18192 --a------ E:\WINDOWS\system32\oodagmg.dll
2007-02-15 14:24 17168 --a------ E:\WINDOWS\system32\oodagrs.dll
2007-02-15 10:44 16656 --a------ E:\WINDOWS\system32\ootmapi.dll
2007-02-15 10:41 38160 --a------ E:\WINDOWS\system32\drivers\oobctm.sys
2007-02-10 17:42 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\editplus 2
2007-02-08 19:37 2560 --a------ E:\WINDOWS\_msrstrt.exe
2007-02-08 18:29 -------- d-------- E:\DOKUME~1\michi\ANWEND~1\lavasoft
2007-01-26 03:19 524288 --a------ E:\WINDOWS\system32\divxsm.exe
2007-01-26 03:19 3596288 --a------ E:\WINDOWS\system32\qt-dx331.dll
2007-01-26 03:19 129784 --a------ E:\WINDOWS\system32\pxafs.dll
2007-01-26 03:19 118520 --------- E:\WINDOWS\system32\pxinsi64.exe
2007-01-26 03:19 116472 --------- E:\WINDOWS\system32\pxcpyi64.exe
2007-01-26 03:18 200704 --a------ E:\WINDOWS\system32\ssldivx.dll
2007-01-26 03:18 1044480 --a------ E:\WINDOWS\system32\libdivx.dll
2007-01-26 03:13 823296 --a------ E:\WINDOWS\system32\divx_xx0c.dll
2007-01-26 03:13 823296 --a------ E:\WINDOWS\system32\divx_xx07.dll
2007-01-26 03:13 802816 --a------ E:\WINDOWS\system32\divx_xx11.dll
2007-01-26 03:13 738906 --a------ E:\WINDOWS\system32\divx.dll
2007-01-26 03:13 73728 --a------ E:\WINDOWS\system32\dpl100.dll
2007-01-26 03:13 593920 --a------ E:\WINDOWS\system32\dpugui11.dll
2007-01-26 03:13 57344 --a------ E:\WINDOWS\system32\dpv11.dll
2007-01-26 03:13 53248 --a------ E:\WINDOWS\system32\dpugui10.dll
2007-01-26 03:13 344064 --a------ E:\WINDOWS\system32\dpus11.dll
2007-01-26 03:13 294912 --a------ E:\WINDOWS\system32\dpu11.dll
2007-01-26 03:13 294912 --a------ E:\WINDOWS\system32\dpu10.dll
2007-01-26 03:13 196608 --a------ E:\WINDOWS\system32\dtu100.dll
2007-01-24 15:27 1273 --a--c--- E:\WINDOWS\mozver.dat
2007-01-23 21:50 0 --a--c--- E:\WINDOWS\nsreg.dat
2007-01-23 19:20 21504 --a------ E:\WINDOWS\jestertb.dll
2007-01-23 18:56 21740 --a------ E:\WINDOWS\system32\emptyregdb.dat
2007-01-23 18:40 62 --ahs---- E:\DOKUME~1\michi\ANWEND~1\desktop.ini
2007-01-19 13:53 51056 --a------ E:\WINDOWS\system32\sirenacm.dll
2007-01-15 19:32 689280 --a------ E:\WINDOWS\system32\aswboot.exe
2007-01-15 19:23 90112 --a------ E:\WINDOWS\system32\avastss.scr


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"EPSON Stylus DX3800 Series"="E:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIACE.EXE /P26 \"EPSON Stylus DX3800 Series\" /O6 \"USB001\" /M \"Stylus DX3800\""
"avast!"="C:\\PROGRA~1\\Avast4\\ashDisp.exe"
"razertra"="C:\\Programme\\Razr\\razertra.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\E:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="E:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="E:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\E:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="E:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="E:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~4\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bittorrent"
"hkey"="HKCU"
"command"="\"C:\\Programme\\BitTorrent\\bittorrent.exe\" --force_start_minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKCU"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WkUFind"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\Microsoft Shared\\Works Shared\\WkUFind.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsnMsgr"
"hkey"="HKCU"
"command"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="E:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Application Launcher"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="osvwndbi"
"hkey"="HKLM"
"command"="rundll32.exe \"E:\\WINDOWS\\system32\\osvwndbi.dll\",setvm"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spooler SubSystem App]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="spoolsvc"
"hkey"="HKLM"
"command"="E:\\WINDOWS\\System32\\spoolsvc.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=dword:00000003
"iPod Service"=dword:00000003
"ATI Smart"=dword:00000002
"Ati HotKey Poller"=dword:00000002
"O&O Defrag"=dword:00000002


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E1DAC82B-1C81-41B2-AC1B-6AE2653965E0}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgggdcd
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqo

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-08 13:33:29
E:\ComboFix-quarantined-files.txt ... 07-04-08 13:33
und datafind.log is als .zip angehängt
clean up hab ich auch schon als erstes ausgeführt

Anhang: 6logs.zip
Seitenanfang Seitenende
08.04.2007, 13:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 «
datfindbat : du hast mir 6 mal das gleiche log gepostet - von C:\ ;)
bitte noch mal die datfindbat korrekt ausfuehren

»»
dann gehst du auf E:\ - und fuehrst dort die datfindbat ebenfalls aus
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2007, 14:15
ville
...neu hier

Themenstarter

Beiträge: 10
#5 hmm, ich habs eigentlich genau so gemacht wies in der anleitung steht :p

muss ich die bat datei vorher nach E verschieben und dort ausführen?
Seitenanfang Seitenende
08.04.2007, 16:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ja, versuche es mal...............
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.04.2007, 20:09
ville
...neu hier

Themenstarter

Beiträge: 10
#7 ok, hier nochmal
habs jetz in E gemacht, ging wahrscheinlich nich weil ichs vorher auf C ausgeführt hab, aber windows in E installiert ist ^_^

E:\WINDOWS\system32

08.04.2007 20:07 551.230 accdd.ini
08.04.2007 18:13 62.344 perfc009.dat
08.04.2007 18:13 401.064 perfh009.dat
08.04.2007 18:13 415.470 perfh007.dat
08.04.2007 18:13 74.996 perfc007.dat
08.04.2007 18:13 966.250 PerfStringBackup.INI
08.04.2007 18:09 29.100 OODBS.lor
08.04.2007 13:39 1.633.744 jvreoajn.ini
08.04.2007 13:38 123.972 njaoervj.dll
08.04.2007 13:38 48.708 piqfchtp.dll
08.04.2007 13:38 506.616 accdd.bak1
08.04.2007 13:38 280.676 ddcca.dll
08.04.2007 13:29 564.262 oqtss.ini
08.04.2007 13:29 48.708 blslunxl.dll
07.04.2007 16:56 1.633.804 ibdnwvso.ini
07.04.2007 16:10 123.972 osvwndbi.dll
07.04.2007 16:08 511.440 oqtss.bak2
07.04.2007 11:29 2.206 wpa.dbl
06.04.2007 20:47 1.632.199 gqyvdnxj.ini
06.04.2007 16:08 123.972 jxndvyqg.dll
05.04.2007 14:39 1.632.156 mykmtcgy.ini
05.04.2007 14:37 207.304 FNTCACHE.DAT
05.04.2007 14:30 122.062 TZLog.log
05.04.2007 14:11 90 spupdwxp.log
05.04.2007 13:36 123.972 ygctmkym.dll
03.04.2007 22:36 132.116 begswkvg.dll
02.04.2007 20:21 26.694 rqrpnki.dll
02.04.2007 19:54 26.694 fccayab.dll
02.04.2007 19:08 26.694 urqnmjk.dll
02.04.2007 19:05 97 mcrh.tmp
02.04.2007 19:04 26.694 gebaxxv.dll
02.04.2007 18:58 354 tlofdhgl.ini
02.04.2007 18:54 123.972 lghdfolt.dll
02.04.2007 18:54 495.547 oqtss.bak1
02.04.2007 18:48 26.694 hgggdcd.dll

Anhang: logs.zip
Seitenanfang Seitenende
08.04.2007, 21:21
Chris240185
...neu hier

Beiträge: 4
#8 Hallo Leute,
ich habe das gleiche Problem. Wäre super, wenn ihr mir auch helfen könntet.
Bei mir ist es allerdings nicht nur drivecleaner werbung, sondern auch antivir, poker ... leider.

Ich poste hier mal meine Logs. Bei CleanUp konnte ich leider nicht alles einstellen wie angegeben, da der punkt delete prefetch files ausgegraut ist. ich hoff mal das ist nicht so tragisch.

Hier die logs:

Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 21:57:16, on 07.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\notepad.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/Administrator/Desktop/doks/start.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F1 - win.ini: run= C:\WESTWOOD\ALARM\INSTICON.EXE
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [WinVNC] "E:\Programme\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINNT\system32\oehwrmpy.dll",setvm
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "E:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) - https://www.azubi.basf-ag.de/iNotes.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PostgreSQL Database Server 8.1 (pgsql-8.1) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.1\bin\pg_ctl.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - E:\Programme\UltraVNC\WinVNC.exe" -service (file missing)
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\Programme\xampp\service.exe (file missing)

System32.txt
Datentr„ger in Laufwerk C: ist charlie
Datentr„gernummer: 20C4-0B09

Verzeichnis von C:\WINNT\system32

08.04.2007 20:41 523.228 yxwvw.ini
08.04.2007 20:37 1.634.558 ypmrwheo.ini
08.04.2007 18:42 16.384 Perflib_Perfdata_320.dat
07.04.2007 22:04 515.216 yxwvw.ini2
07.04.2007 21:25 507.496 yxwvw.bak2
07.04.2007 18:14 123.972 oehwrmpy.dll
07.04.2007 18:14 506.656 yxwvw.bak1
07.04.2007 18:14 280.676 wvwxy.dll
07.04.2007 17:07 409 ehhhk.ini
07.04.2007 17:07 280.676 khhhe.dll
07.04.2007 17:01 26.694 rqrqoml.dll
07.04.2007 17:00 26.694 ddcywxu.dll
05.04.2007 20:48 79.944 FNTCACHE.DAT
05.04.2007 13:32 16.384 Perflib_Perfdata_334.dat
28.03.2007 23:46 375.410 perfh009.dat
28.03.2007 23:46 53.040 perfc009.dat
28.03.2007 23:46 370.346 perfh007.dat
28.03.2007 23:46 64.140 perfc007.dat
28.03.2007 23:46 855.976 PerfStringBackup.INI
28.03.2007 23:45 600 AUTOEXEC.NT
15.03.2007 00:20 151 '
07.03.2007 22:36 12.619.736 MRT.exe
07.03.2007 20:47 15.072 spmsg.dll
06.03.2007 13:17 381.712 USER32.DLL
06.03.2007 13:17 235.280 GDI32.DLL
06.03.2007 13:17 38.160 mf3216.dll
06.03.2007 13:14 1.642.096 WIN32K.SYS
21.02.2007 18:51 11.407 NULL

Systemtemp.txt:

Datentr„ger in Laufwerk C: ist charlie
Datentr„gernummer: 20C4-0B09

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

08.04.2007 20:44 54.272 ginstall.dll
08.04.2007 20:15 16.384 ~DFE29D.tmp
08.04.2007 20:12 16.384 ~DF6491.tmp
08.04.2007 18:51 206 jusched.log
4 Datei(en) 87.246 Bytes
0 Verzeichnis(se), 911.454.208 Bytes frei

System.txt:

Datentr„ger in Laufwerk C: ist charlie
Datentr„gernummer: 20C4-0B09

Verzeichnis von C:\WINNT

08.04.2007 18:38 1.313.299 WindowsUpdate.log
07.04.2007 22:35 32.556 SchedLgU.Txt
07.04.2007 21:08 3.050 ACROREAD.INI
07.04.2007 17:15 28 Administrator.acl
05.04.2007 13:35 258.058 comsetup.log
05.04.2007 13:35 596.347 iis5.log
05.04.2007 13:35 1.409 imsins.log
05.04.2007 13:35 16.577 KB925902.log
05.04.2007 13:34 237.743 ocgen.log
05.04.2007 13:34 18.218 ockodak.log
05.04.2007 13:34 83.928 updspapi.log
28.03.2007 23:53 325.930 setupapi.log
28.03.2007 23:45 250 system.ini
27.03.2007 21:31 31 mmdet.log
27.03.2007 21:31 104.407 setupact.log
17.03.2007 17:30 179.819 wmsetup.log
24.02.2007 13:26 1.409 QTFont.for
24.02.2007 13:26 54.156 QTFont.qfn
19.02.2007 18:47 1.418 imsins.BAK
19.02.2007 18:47 15.003 KB924667.log
19.02.2007 18:46 23.921 MDAC25SP3-KB927779-x86-DEU.log
19.02.2007 18:45 14.083 KB918118.log
19.02.2007 18:44 6.795 KB928090-IE6SP1-20070125.120000.log
19.02.2007 18:44 12.976 KB926436.log
19.02.2007 18:42 12.534 KB928843.log
18.02.2007 23:35 439 WIN.INI
18.02.2007 23:34 2 msoffice.ini
16.01.2007 22:12 3.438 KB929969-IE6SP1-20061220.120000.log

tmp.txt:

Datentr„ger in Laufwerk C: ist charlie
Datentr„gernummer: 20C4-0B09

Verzeichnis von C:\WINNT\temp

down.txt:
Datentr„ger in Laufwerk C: ist charlie
Datentr„gernummer: 20C4-0B09

Verzeichnis von C:\WINNT\Downloaded Program Files

27.03.2006 13:00 5.019 swflash.inf
10.11.2005 15:05 876 jinstall-1_5_0_06.inf
27.09.2005 23:25 65 desktop.ini
24.03.2005 11:40 860 inotes.inf
13.05.2004 18:37 348.160 inotes.dll
5 Datei(en) 354.980 Bytes
0 Verzeichnis(se), 911.441.920 Bytes frei

sys.txt:

Datentr„ger in Laufwerk C: ist charlie
Datentr„gernummer: 20C4-0B09

Verzeichnis von C:\

08.04.2007 21:08 0 sys.txt
08.04.2007 21:07 507 down.txt
08.04.2007 21:06 108 tmp.txt
08.04.2007 21:05 10.712 system.txt
08.04.2007 21:04 449 systemtemp.txt
08.04.2007 20:41 85.125 system32.txt
07.04.2007 22:27 5.577 ComboFix.txt
07.04.2007 22:27 606 ComboFix-quarantined-files.txt
07.04.2007 21:30 18.186 avenger.txt
21.02.2007 18:51 345 TO_InstallLog.txt
24.02.2006 17:18 24 Tipps.csv

Combofix:

"Administrator" - So 08.04.2007 21:17:19 Service Pack 4
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\Administrator\Desktop"


((((((((((((((((((((((((((((((( Files Created from 2007-03-08 to 2007-04-08 ))))))))))))))))))))))))))))))))))


2007-04-08 18:42 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_320.dat
2007-04-07 22:03 515,216 ---hs---- C:\WINNT\system32\yxwvw.ini2
2007-04-07 21:31 <DIR> d-------- C:\avenger
2007-04-07 19:23 507,496 ---hs---- C:\WINNT\system32\yxwvw.bak2
2007-04-07 18:35 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-04-07 18:14 506,656 ---hs---- C:\WINNT\system32\yxwvw.bak1
2007-04-07 18:14 280,676 ---hs---- C:\WINNT\system32\wvwxy.dll
2007-04-07 18:14 123,972 --a------ C:\WINNT\system32\oehwrmpy.dll
2007-04-07 17:07 280,676 ---hs---- C:\WINNT\system32\khhhe.dll
2007-04-07 17:01 26,694 --a------ C:\WINNT\system32\rqrqoml.dll
2007-04-07 17:00 26,694 --a------ C:\WINNT\system32\ddcywxu.dll
2007-04-05 13:32 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_334.dat
2007-03-24 16:34 17,480 --a------ C:\WINNT\system32\drivers\hamachi.sys
2007-03-24 16:34 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Hamachi
2007-03-15 00:14 6,016 --a------ C:\WINNT\system32\drivers\vnccom.SYS
2007-03-15 00:14 5,760 --a------ C:\WINNT\system32\vnchelp.dll
2007-03-15 00:14 4,736 --a------ C:\WINNT\system32\drivers\vncdrv.sys
2007-03-15 00:14 12,800 --a------ C:\WINNT\system32\vncdrv.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-08 21:22 123972 --a------ C:\WINNT\system32\qdrqhaga.dll
2007-04-08 18:43 -------- d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\skype
2007-03-28 23:46 64140 --a------ C:\WINNT\system32\perfc007.dat
2007-03-28 23:46 370346 --a------ C:\WINNT\system32\perfh007.dat
2007-03-24 16:27 -------- d-a------ C:\Programme\icqlite
2007-03-06 13:17 381712 --a------ C:\WINNT\system32\user32.dll
2007-03-06 13:17 38160 --a------ C:\WINNT\system32\mf3216.dll
2007-03-06 13:17 235280 --a------ C:\WINNT\system32\gdi32.dll
2007-03-06 13:14 1642096 --a------ C:\WINNT\system32\win32k.sys
2007-02-21 18:45 -------- d--h----- C:\Programme\installshield installation information
2007-02-21 18:45 -------- d-------- C:\Programme\t-online
2007-02-21 18:39 -------- d-------- C:\Programme\Gemeinsame Dateien\swf studio
2007-02-19 18:42 -------- d-------- C:\Programme\Gemeinsame Dateien\odbc
2007-02-18 23:37 -------- d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\t-online
2007-02-18 23:35 -------- d-------- C:\Programme\icqtoolbar
2007-01-10 11:58 212992 --a------ C:\WINNT\system32\odbc32.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"Skype"="\"E:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ToADiMon.exe"="C:\\Programme\\T-Online\\T-Online_Software_5\\Basis-Software\\Basis1\\ToADiMon.exe -TOnlineAutodialStart"
"WinVNC"="\"E:\\Programme\\UltraVNC\\WinVNC.exe\" -servicehelper"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"SoundService"="rundll32.exe \"C:\\WINNT\\system32\\qdrqhaga.dll\",setvm"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{483CC496-D041-4545-8D9E-2D64294F97B2}"=""

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcywxu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvwxy

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0nwprovau\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
rpcss REG_MULTI_SZ RpcSs\0\0
wugroup REG_MULTI_SZ wuauserv\0\0
BITSgroup REG_MULTI_SZ BITS\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
WmdmPmSN



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: Sun 2007-04-08 21:24:55
C:\ComboFix-quarantined-files.txt ... 07-04-08 21:24
C:\ComboFix2.txt ... 07-04-07 22:27

Combofic quarantined-files:

Code

07-04-08 21:21       216    --a------    C:\Qoobox\Quarantine\Registry_backups\services_nm.reg.cf 
07-04-08 21:21       564    --a------    C:\Qoobox\Quarantine\Registry_backups\services_NwSapAgent.reg.cf 
07-04-08 21:21       828    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_NWSAPAGENT.reg.cf 


Auflistung der Ordnerpfade fr Datentr„ger charlie
Datentr„gernummer: 0006FE80 20C4:0B09
C:\QOOBOX
\---Quarantine
    \---Registry_backups
            LEGACY_NWSAPAGENT.reg.cf
            services_nm.reg.cf
            services_NwSapAgent.reg.cf
            
Schon mal vielen Dank....
Dieser Beitrag wurde am 08.04.2007 um 21:37 Uhr von Chris240185 editiert.
Seitenanfang Seitenende
09.04.2007, 14:08
ville
...neu hier

Themenstarter

Beiträge: 10
#9 lol mach deinen eigenen thread =P
Seitenanfang Seitenende
09.04.2007, 17:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Chris240185

«
wende Vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

«
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SoundService
HKLM\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{483CC496-D041-4545-8D9E-2D64294F97B2}

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcywxu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvwxy

Files to delete:
C:\WINNT\system32\yxwvw.ini
C:\WINNT\system32\ypmrwheo.ini
C:\WINNT\system32\yxwvw.ini2
C:\WINNT\system32\yxwvw.bak2
C:\WINNT\system32\oehwrmpy.dll
C:\WINNT\system32\yxwvw.bak1
C:\WINNT\system32\wvwxy.dll
C:\WINNT\system32\ehhhk.ini
C:\WINNT\system32\khhhe.dll
C:\WINNT\system32\rqrqoml.dll
C:\WINNT\system32\ddcywxu.dll
C:\WINNT\system32\qdrqhaga.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2007, 17:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 ville

ALLES AUF E:\ anwenden

«
wende Vundofix an
http://virus-protect.org/artikel/tools/vundofixx.html

«
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgggdcd
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\sstqo

Files to delete:
E:\WINDOWS\system32\accdd.ini
E:\WINDOWS\system32\jvreoajn.ini
E:\WINDOWS\system32\njaoervj.dll
E:\WINDOWS\system32\piqfchtp.dll
E:\WINDOWS\system32\accdd.bak1
E:\WINDOWS\system32\ddcca.dll
E:\WINDOWS\system32\oqtss.ini
E:\WINDOWS\system32\blslunxl.dll
E:\WINDOWS\system32\ibdnwvso.ini
E:\WINDOWS\system32\osvwndbi.dll
E:\WINDOWS\system32\oqtss.bak2
E:\WINDOWS\system32\gqyvdnxj.ini
E:\WINDOWS\system32\jxndvyqg.dll
E:\WINDOWS\system32\mykmtcgy.ini
E:\WINDOWS\system32\ygctmkym.dll
E:\WINDOWS\system32\begswkvg.dll
E:\WINDOWS\system32\rqrpnki.dll
E:\WINDOWS\system32\fccayab.dll
E:\WINDOWS\system32\urqnmjk.dll
E:\WINDOWS\system32\mcrh.tmp
E:\WINDOWS\system32\gebaxxv.dll
E:\WINDOWS\system32\tlofdhgl.ini
E:\WINDOWS\system32\lghdfolt.dll
E:\WINDOWS\system32\oqtss.bak1
E:\WINDOWS\system32\hgggdcd.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2007, 19:36
Chris240185
...neu hier

Beiträge: 4
#12 Hier das Resultat meines Scans:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 19:26:48 09.04.2007

+ Scan-Ergebnis:



C:\Programme\Everest Poker\cstart-tmp.exe -> Adware.Casino : Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@livemercial.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[1].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@cpvfeed[2].txt -> TrackingCookie.Cpvfeed : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@fastclick[2].txt -> TrackingCookie.Fastclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@stats1.reliablestats[1].txt -> TrackingCookie.Reliablestats : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@statcounter[2].txt -> TrackingCookie.Statcounter : Keine Aktion durchgeführt.


::Berichtende


Bin ich jetzt geheilt?
Danke schonmal bis dahin...
Seitenanfang Seitenende
09.04.2007, 19:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Keine Aktion durchgeführt. - alles loeschen lassen ;)

* Klicke dann auf Einstellungen: "Wie reagieren?" -> auf Löschen stellen

»
scanne mit kaspersky (C:\ und E:\ ) und poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2007, 21:11
ville
...neu hier

Themenstarter

Beiträge: 10
#14 k hab alles gemacht, hier noch der scanreport

Zitat

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

edit

:mozilla.168:E:\Dokumente und Einstellungen\Matthiass\Anwendungsdaten\Mozilla\Firefox\Profiles\7y1971de.default\cookies.txt -> TrackingCookie.Yieldmanager : Gesäubert.
D:\myshit\randomshit\XP_USB_Patcher.zip/XP-USB-Patcher/XP-USB-Patcher.exe -> Trojan.Agent.jh : Gesäubert.
C:\RECYCLER\S-1-5-21-725345543-1123561945-682003330-1008\Dc5.zip/Setup.exe -> Worm.VB.dw : Gesäubert.


::Berichtende
Seitenanfang Seitenende
09.04.2007, 22:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 ville

poste noch mal das 1. log von datfindbat (System32) - von E:\
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12