AntiVir stürzt beim scan ab!

#1 Hallo,
ich benutze Windows XP, habe die AntiVir Classic Edition mit aktuellem Update drauf und jedes mal wenn ich den Filewalker durchlaufen lasse stürzt er irgendwann ab(Rootkit, Bootsektor, usw. wird gescannt ohne Probleme oder Meldungen, erst bei den lokalen Platten stürzt es ab). Irgendwie hab ich den verdacht das irgendein Fremdprogramm dieses verursacht, da mein Steam (Downloadplatform für Spiele) sich zwar öffnet(steht in den Prozessen), aber nicht sichtbar wird. Hinzu kommt das auf einmal meine AntiVir Tray Icons weg sind.
Da ich nun schon in einigen Foren herumgestöbert habe, und da alle HijackThis Berichte senden, habe ich mir auch dieses heruntergeladen und sende den Bericht auch hier herein.
Wäre echt nett von euch wenn ihr da mal reinschauen könntet, da ich gar keine Ahnung davon habe.

Schonmal Danke im Voraus!

Ach ja Spybot S&D stürtzt auch ab während dem Überprüfen.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 17:39:57, on 25.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Oh Dae-Su\Desktop\Sicherheit\HijackThat.exe

O2 - BHO: (no name) - {1EA548F8-F257-DBD8-9895-1C26E29CFCAD} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "D:\spiele\Steam\Steam.exe" -silent
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

#2 Obwohl ich auf anhieb nichts sehe, wuerde es mich wundern, wenn dein Rechner sauber waere, bei dem Patchstand( Keine Servicepacks usw)

Du kannst folgendes versuchen:
Aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm

starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

Nutze die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246

Lasse Antivir dort deine Festplatten pruefen und alle Funde in die Quarantäne schieben.

Zusaetzlich bitte noch Cureit nutzen Anleitung: http://virus-protect.org/cureit.html
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de


Dann den Rechner neu starten, poste den Bericht, den Antivir und Cureit im abgesicherten Modus erstellt haben, dazu noch ein aktuelles Hijackthis log(vor dem Start Hijackthis.exe in test.com umbenennen) und combofix report: http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Ralf
SEO-Spam Hunter

#3 OK, ich mach mich ran! Habe AntiVir schon bei dem Scan bei dem es abgeschmiert ist so konfiguriert und zuvor AntiVir schon im Abgesicherten Modus drüber laufen lassen(auch mit der Einstellung). Werde nun noch das mit dem Abgesicherten Modus und vor allem das mit Cureit.

Danke schonmal!

#4 Du kannst es ja einmal versuchen. Sollte das auch nicht klappen, versuhe combofix und eine datfindbat Liste.

Temperaturmaessig hast du keine Probleme mit deinem Rechner?
__________
MfG Ralf
SEO-Spam Hunter

#5 Also: bereinigt habe ich, AntiVir lief durch ohne Probleme zu haben(hat auch was gefunden), Cureit stürzte beim Scann ab und HijackThis ab ich auch durchlaufen lassen.

AntiVir:

Zitat

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 25. April 2007 20:24

Es wird nach 740715 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: XXXXXXX
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: XXXXX
Computername: XXXXX

Versionsinformationen:
BUILD.DAT : 244 14437 Bytes 16.04.2007 16:03:00
AVSCAN.EXE : 7.0.4.13 282664 Bytes 02.04.2007 08:36:40
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 13:09:01
ANTIVIR2.VDF : 6.38.0.214 729600 Bytes 12.04.2007 13:09:02
ANTIVIR3.VDF : 6.38.0.225 50688 Bytes 16.04.2007 13:09:02
AVEWIN32.DLL : 7.4.0.12 2404864 Bytes 13.04.2007 13:04:24
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.8 360488 Bytes 27.03.2007 07:48:28
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.12 274472 Bytes 27.03.2007 11:31:08
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 25. April 2007 20:24

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '10' Prozesse mit '10' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '8' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\TuneUpUtilities2006\Yurps.rar
[0] Archivtyp: RAR
--> Yurpsgen\eclsxp30.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/PESpin). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Eine Sicherungskopie wurde unter dem Namen 46a8a282.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Programme, Spiele & Zeug>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
D:\Downloads\Noch brauchbare Sachen\Yurps.rar
[0] Archivtyp: RAR
--> Yurpsgen\eclsxp30.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/PESpin). Bitte verifizieren Sie den Ursprung dieser Datei.
[INFO] Eine Sicherungskopie wurde unter dem Namen 46a8abb8.qua erstellt ( QUARANTÄNE )
D:\Paperstuff\Verein\DSA\DSA\Programme\fantasy grounds.zip
[FUND] Ist das Trojanische Pferd TR/Dldr.IstBar.NK.2
[INFO] Eine Sicherungskopie wurde unter dem Namen 46a1ae49.qua erstellt ( QUARANTÄNE )
D:\Programme\Screen 2 WebFlash 1\rasKB50.dll
[FUND] Enthält Signatur des SPR/WinGod.A-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 46a2b194.qua erstellt ( QUARANTÄNE )
D:\Spiele\Spielezubehör\DLH98 Lite\0900a.dlm
[0] Archivtyp: RAR
--> tach\Trainer.exe
[FUND] Enthält Signatur des SPR/PSW.HotKeys-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 465fb5ab.qua erstellt ( QUARANTÄNE )
D:\Spiele\Spielezubehör\DLH98 Lite\1300.dlm
[0] Archivtyp: RAR
--> beetle\BeetleTrainer.exe
[FUND] Enthält Signatur des SPR/PSW.HotKeys-Programmes
[INFO] Eine Sicherungskopie wurde unter dem Namen 465fb5e4.qua erstellt ( QUARANTÄNE )
D:\Spiele\Spielezubehör\DLH98 Lite\2499a.dlm
[0] Archivtyp: RAR
--> tr3\TR3_RB.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen 4668b663.qua erstellt ( QUARANTÄNE )


Ende des Suchlaufs: Mittwoch, 25. April 2007 22:20
Benötigte Zeit: 1:56:40 min

Der Suchlauf wurde vollständig durchgeführt.

7877 Verzeichnisse wurden überprüft
260442 Dateien wurden geprüft
7 Viren bzw. unerwünschte Programme wurden gefunden
3 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
260432 Dateien ohne Befall
2236 Archive wurden durchsucht
4 Warnungen
14 Hinweise
0 Versteckte Objekte wurden gefunden

HijackThis:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 23:02:11, on 25.04.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Oh Dae-Su\Desktop\Sicherheit\HijackThat.exe

O2 - BHO: (no name) - {1EA548F8-F257-DBD8-9895-1C26E29CFCAD} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "D:\spiele\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe

Hoffe das sagt irgendjemand irgendwas...
Ich versuchs nun auch noch mit combofix...

Edit:
Hier noch combofix:

Zitat

ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\Oh Dae-Su\Desktop\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOKUME~1\OHDAE-~1\Desktop\internet.lnk
C:\Programme\install.log


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm


((((((((((((((((((((((((((((((( Files Created from 2007-03-25 to 2007-04-25 ))))))))))))))))))))))))))))))))))


2007-04-25 19:53 439,296 --a------ C:\WINDOWS\system32\rpcrt4.dll
2007-04-25 19:53 37,888 --a------ C:\WINDOWS\system32\hhsetup.dll
2007-04-25 19:53 320,000 --a------ C:\WINDOWS\system32\zipfldr.dll
2007-04-25 19:53 241,152 --a------ C:\WINDOWS\system32\newdev.dll
2007-04-25 19:53 221,696 --a------ C:\WINDOWS\system32\srrstr.dll
2007-04-25 19:53 204,288 --a------ C:\WINDOWS\system32\rpcss.dll
2007-04-25 19:53 143,872 --a------ C:\WINDOWS\system32\itircl.dll
2007-04-25 19:53 128,512 --a------ C:\WINDOWS\system32\shmedia.dll
2007-04-25 19:53 122,368 --a------ C:\WINDOWS\system32\itss.dll
2007-04-25 19:52 68,608 --a------ C:\WINDOWS\system32\locator.exe
2007-04-25 19:52 549,376 --a------ C:\WINDOWS\system32\crypt32.dll
2007-04-25 19:52 10,752 --a------ C:\WINDOWS\hh.exe
2007-04-25 19:52 1,094,144 --a------ C:\WINDOWS\system32\ole32.dll
2007-04-25 19:51 25,600 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2007-04-25 19:51 <DIR> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2007-04-25 19:23 <DIR> d-------- C:\DOKUME~1\OHDAE-~1\DoctorWeb
2007-04-25 12:53 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-25 12:53 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-13 11:45 26,056 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2007-04-13 11:45 <DIR> d-------- C:\Programme\Hamachi
2007-04-13 11:43 <DIR> d-------- C:\WINDOWS\LastGood
2007-04-13 11:43 <DIR> d-------- C:\DOKUME~1\OHDAE-~1\ANWEND~1\Hamachi
2007-04-13 00:07 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\nView_Profiles
2007-04-12 23:54 794,624 --a------ C:\WINDOWS\system32\nvcplui.exe
2007-04-12 23:54 466,944 --a------ C:\WINDOWS\system32\nvshell.dll
2007-04-12 23:54 45,056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2007-04-12 23:54 442,368 --a------ C:\WINDOWS\system32\nvappbar.exe
2007-04-12 23:54 425,984 --a------ C:\WINDOWS\system32\keystone.exe
2007-04-12 23:54 335,872 --a------ C:\WINDOWS\system32\nvwrses.dll
2007-04-12 23:54 335,872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2007-04-12 23:54 327,680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2007-04-12 23:54 323,584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2007-04-12 23:54 323,584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2007-04-12 23:54 323,584 --a------ C:\WINDOWS\system32\nvrshe.dll
2007-04-12 23:54 323,584 --a------ C:\WINDOWS\system32\nvrsar.dll
2007-04-12 23:54 319,488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2007-04-12 23:54 319,488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2007-04-12 23:54 315,392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2007-04-12 23:54 315,392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2007-04-12 23:54 311,296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2007-04-12 23:54 303,104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2007-04-12 23:54 303,104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2007-04-12 23:54 303,104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2007-04-12 23:54 299,008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2007-04-12 23:54 299,008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2007-04-12 23:54 294,912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2007-04-12 23:54 294,912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2007-04-12 23:54 294,912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2007-04-12 23:54 286,720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2007-04-12 23:54 282,624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2007-04-12 23:54 278,528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2007-04-12 23:54 274,432 --a------ C:\WINDOWS\system32\nvrsit.dll
2007-04-12 23:54 274,432 --a------ C:\WINDOWS\system32\nvrses.dll
2007-04-12 23:54 274,432 --a------ C:\WINDOWS\system32\nvrsel.dll
2007-04-12 23:54 266,240 --a------ C:\WINDOWS\system32\nvrspt.dll
2007-04-12 23:54 266,240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2007-04-12 23:54 266,240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2007-04-12 23:54 262,144 --a------ C:\WINDOWS\system32\nvrsru.dll
2007-04-12 23:54 262,144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2007-04-12 23:54 253,952 --a------ C:\WINDOWS\system32\nvrshu.dll
2007-04-12 23:54 249,856 --a------ C:\WINDOWS\system32\nvrstr.dll
2007-04-12 23:54 249,856 --a------ C:\WINDOWS\system32\nvrssl.dll
2007-04-12 23:54 249,856 --a------ C:\WINDOWS\system32\nvrssk.dll
2007-04-12 23:54 249,856 --a------ C:\WINDOWS\system32\nvrspl.dll
2007-04-12 23:54 249,856 --a------ C:\WINDOWS\system32\nvrsno.dll
2007-04-12 23:54 245,760 --a------ C:\WINDOWS\system32\nvrssv.dll
2007-04-12 23:54 245,760 --a------ C:\WINDOWS\system32\nvrsda.dll
2007-04-12 23:54 241,664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2007-04-12 23:54 241,664 --a------ C:\WINDOWS\system32\nvrscs.dll
2007-04-12 23:54 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-04-12 23:54 147,456 --a------ C:\WINDOWS\system32\nvcolor.exe
2007-04-12 23:54 1,662,976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2007-04-12 23:54 1,622,016 --a------ C:\WINDOWS\system32\nwiz.exe
2007-04-12 23:54 1,470,464 --a------ C:\WINDOWS\system32\nview.dll
2007-04-12 23:54 1,339,392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2007-04-12 23:54 1,019,904 --a------ C:\WINDOWS\system32\nvwimg.dll
2007-04-12 23:54 1,011,712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2007-04-12 23:52 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-04-12 23:41 3,964,256 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-04-12 23:41 155,715 --a------ C:\WINDOWS\system32\nvsvc32.exe
2007-04-12 23:41 1,732,608 --a------ C:\WINDOWS\system32\nvwssr.dll
2007-04-12 23:41 1,236,992 --a------ C:\WINDOWS\system32\nvwss.dll
2007-04-12 23:40 888,832 --a------ C:\WINDOWS\system32\nvmobls.dll
2007-04-12 23:40 86,016 --a------ C:\WINDOWS\system32\nvmctray.dll
2007-04-12 23:40 81,920 --a------ C:\WINDOWS\system32\nvwddi.dll
2007-04-12 23:40 7,634,944 --a------ C:\WINDOWS\system32\nvcpl.dll
2007-04-12 23:40 581,632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2007-04-12 23:40 5,636,096 --a------ C:\WINDOWS\system32\nvoglnt.dll
2007-04-12 23:40 5,619,712 --a------ C:\WINDOWS\system32\nvdisps.dll
2007-04-12 23:40 5,255,168 --a------ C:\WINDOWS\system32\nvdispsr.dll
2007-04-12 23:40 458,752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2007-04-12 23:40 4,493,952 --a------ C:\WINDOWS\system32\nv4_disp.dll
2007-04-12 23:40 35,840 --a------ C:\WINDOWS\system32\nvcodins.dll
2007-04-12 23:40 35,840 --a------ C:\WINDOWS\system32\nvcod.dll
2007-04-12 23:40 3,047,424 --a------ C:\WINDOWS\system32\nvgames.dll
2007-04-12 23:40 286,720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2007-04-12 23:40 229,376 --a------ C:\WINDOWS\system32\nvmccs.dll
2007-04-12 23:40 2,969,600 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2007-04-12 23:40 2,932,736 --a------ C:\WINDOWS\system32\nvgamesr.dll
2007-04-12 23:40 2,920,448 --a------ C:\WINDOWS\system32\nvvitvs.dll
2007-04-12 23:40 2,859,008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2007-04-12 23:40 196,608 --a------ C:\WINDOWS\system32\nvapi.dll
2007-04-12 23:40 188,416 --a------ C:\WINDOWS\system32\nvmccss.dll
2007-04-12 23:28 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-04-12 23:01 <DIR> d-------- C:\WINDOWS\system32\EVGA
2007-04-12 21:58 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2007-04-12 21:58 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2007-04-12 21:58 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-04-12 21:58 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-04-12 21:58 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-04-12 21:58 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-04-12 21:58 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-04-12 21:58 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll
2007-04-12 21:58 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2007-04-12 21:58 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2007-04-12 21:58 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2007-04-12 21:58 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2007-04-12 21:58 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-04-12 21:57 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-04-10 19:05 <DIR> d-------- C:\DOKUME~1\OHDAE-~1\ANWEND~1\IMVU


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-25 23:03 48354 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-25 23:03 316838 --a------ C:\WINDOWS\system32\perfh007.dat
2007-04-25 17:11 -------- d-------- C:\Programme\msn messenger
2007-04-25 13:27 -------- d-------- C:\DOKUME~1\OHDAE-~1\ANWEND~1\trans bird
2007-04-24 14:02 -------- d--h----- C:\Programme\installshield installation information
2007-04-23 11:57 682232 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-04-23 11:35 35332 --a------ C:\WINDOWS\uninst.exe
2007-04-22 21:00 -------- d-------- C:\DOKUME~1\OHDAE-~1\ANWEND~1\teamspeak2
2007-04-22 19:05 -------- d-------- C:\Programme\windowsupdate
2007-04-17 09:03 2116992 --a------ C:\WINDOWS\system32\tukernel.exe
2007-03-10 18:58 83664 --a------ C:\DOKUME~1\OHDAE-~1\ANWEND~1\gdipfontcachev1.dat
2007-03-07 22:00 -------- d-------- C:\Programme\icqlite
2007-02-27 23:09 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
2007-02-27 22:44 21840 --a----t- C:\WINDOWS\system32\sintfnt.dll
2007-02-27 22:44 17212 --a----t- C:\WINDOWS\system32\sintf32.dll
2007-02-27 22:44 12067 --a----t- C:\WINDOWS\system32\sintf16.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{53707962-6F74-2D53-2644-206D7942484F} d:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"AVGCtrl"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="d:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"Steam"="\"D:\\spiele\\Steam\\Steam.exe\" -silent"
"ctfmon.exe"="C:\\WINDOWS\\System32\\ctfmon.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{74E6AD33-EE29-44A8-B489-6B2E8B7E1EAF}"=""
"{342833B4-E8B7-47F3-F8AA-681D6194A50B}"=""

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ImageFox.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\ImageFox.lnk"
"backup"="C:\\WINDOWS\\pss\\ImageFox.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{92E64C51-5096-442F-9A44-61CB2941391D}\\NewShortcut1.exe "
"item"="ImageFox"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Oh Dae-Su^Startmenü^Programme^Autostart^Verknüpfung mit fbguard.lnk]
"path"="C:\\Dokumente und Einstellungen\\Oh Dae-Su\\Startmenü\\Programme\\Autostart\\Verknüpfung mit fbguard.lnk"
"backup"="C:\\WINDOWS\\pss\\Verknüpfung mit fbguard.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Firebird\\FIREBI~1\\bin\\fbguard.exe "
"item"="Verknüpfung mit fbguard"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Oh Dae-Su^Startmenü^Programme^Autostart^Verknüpfung mit fbserver.lnk]
"path"="C:\\Dokumente und Einstellungen\\Oh Dae-Su\\Startmenü\\Programme\\Autostart\\Verknüpfung mit fbserver.lnk"
"backup"="C:\\WINDOWS\\pss\\Verknüpfung mit fbserver.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Firebird\\FIREBI~1\\bin\\fbserver.exe "
"item"="Verknüpfung mit fbserver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Stone Age^Startmenü^Programme^Autostart^Ubisoft register.lnk]
"path"="C:\\Dokumente und Einstellungen\\Stone Age\\Startmenü\\Programme\\Autostart\\Ubisoft register.lnk"
"backup"="C:\\WINDOWS\\pss\\Ubisoft register.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Ubisoft\\Register\\schedule.exe /08.04.2005 18:15:24 /game=XIII /language=German /country=Greece /url=http://register-it.ubi.com/register.asp"
"item"="Ubisoft register"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Stone Age^Startmenü^Programme^Autostart^Xfire.lnk]
"path"="C:\\Dokumente und Einstellungen\\Stone Age\\Startmenü\\Programme\\Autostart\\Xfire.lnk"
"backup"="C:\\WINDOWS\\pss\\Xfire.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\Xfire\\Xfire.exe "
"item"="Xfire"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADCRec]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ADCRec"
"hkey"="HKCU"
"command"="d:\\Programme\\XemiComputers\\ADC Sound Recorder\\ADCRec.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"D:\\Programme\\Adobe\\Photoshop Elements 4.0\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AVPersonal\\AVGNT.EXE\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGuard]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\AVPERS~1\\AVGNT.EXE /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVSCHED32]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVSched32"
"hkey"="HKLM"
"command"="C:\\Programme\\AVPersonal\\AVSched32.exe /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bargains]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bargains"
"hkey"="HKLM"
"command"="C:\\Programme\\Bargain Buddy\\bin\\bargains.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\bxxs5]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bxxs5"
"hkey"="HKLM"
"command"="RunDLL32.EXE C:\\WINDOWS\\bxxs5.dll,DllRun"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDElbyCDFL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ElbyCheck"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CloneCDTray"
"hkey"="HKLM"
"command"="\"d:\\Programme\\SlySoft\\CloneCD\\CloneCDTray.exe\" /s"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CMESys"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\CMEII\\CMESys.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"d:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DealHelperBrwsr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dhbrwsr"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\dhbrwsr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DealHelperUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DHUpdt"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\DHUpdt.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DownloadWare]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dw"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DownloadWare\\dw.exe\" /H"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EbatesMoeMoneyMaker]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="EbatesMoeMoneyMaker\""
"hkey"="HKLM"
"command"="javaw -cp \"C:\\Programme\\EbatesMoeMoneyMaker\\System\\Code\" Main lp: \"C:\\Programme\\EbatesMoeMoneyMaker\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\freenetiPhone]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iPhoneStarter"
"hkey"="HKCU"
"command"="d:\\programme\\freenetiphone\\iPhoneStarter.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Googlesetup"
"hkey"="HKLM"
"command"="Googlesetup.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"c:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"D:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Kazaa"
"hkey"="HKLM"
"command"="D:\\Programme\\Kazaa\\Kazaa.exe /SYSTRAY"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dumprep 0 -k"
"hkey"="HKLM"
"command"="%systemroot%\\system32\\dumprep 0 -k"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ISStart"
"hkey"="HKLM"
"command"="d:\\Programme\\Logitech\\Video\\ISStart.exe "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LogiTray"
"hkey"="HKLM"
"command"="d:\\Programme\\Logitech\\Video\\LogiTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LVCOMSX"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MsgPlus"
"hkey"="HKLM"
"command"="\"C:\\Programme\\MSN Messenger\\Plus\\MsgPlus.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQNet"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\ICQ\\ICQNet.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\New.net Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NEWDOT~1"
"hkey"="HKLM"
"command"="rundll32 C:\\PROGRA~1\\NEWDOT~1\\NEWDOT~1.DLL,NewDotNetStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvCpl"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIEW]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="rundll32"
"hkey"="HKCU"
"command"="rundll32.exe nview.dll,nViewLoadHook"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="P2P Networking"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\P2P Networking\\P2P Networking.exe /AUTOSTART"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QSB]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="QSB"
"hkey"="HKCU"
"command"="C:\\Programme\\Company\\Quick Start Button\\QSB.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Search-Exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="se"
"hkey"="HKLM"
"command"="\"C:\\Programme\\se\\v11\\se.EXE\" /H"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SiSUSBrg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\SiSUSBrg.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Skype"
"hkey"="HKCU"
"command"="\"D:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="StyleXP"
"hkey"="HKCU"
"command"="C:\\Programme\\TGTSoft\\StyleXP\\StyleXP.exe -Hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SURFJOY]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BITS AUDIO JUNK"
"hkey"="HKCU"
"command"="C:\\DOKUME~1\\OHDAE-~1\\ANWEND~1\\TRANSB~1\\BITS AUDIO JUNK.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Trickler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="fsg_4104"
"hkey"="HKLM"
"command"="\"c:\\windows\\temp\\adware\\fsg_4104.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TuneUp MemOptimizer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="memoptimizer"
"hkey"="HKCU"
"command"="\"C:\\Programme\\TuneUpUtilities2006\\memoptimizer.exe\" autostart"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TV Media]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Tvm"
"hkey"="HKLM"
"command"="C:\\Programme\\TV Media\\Tvm.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_9"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updater]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="wupdater"
"hkey"="HKLM"
"command"="C:\\Programme\\Common files\\updater\\wupdater.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updmgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="updmgr"
"hkey"="HKLM"
"command"="C:\\Programme\\Common files\\updmgr\\updmgr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="D:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinTools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WToolsA"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\WinTools\\WToolsA.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SLService"=dword:00000002
"NVSvc"=dword:00000002
"AVWUpSrv"=dword:00000002
"Macromedia Licensing Service"=dword:00000003
"FirebirdServerDefaultInstance"=dword:00000002
"FirebirdGuardianDefaultInstance"=dword:00000002
"iPodService"=dword:00000003
"IDriverT"=dword:00000003
"StyleXPService"=dword:00000002

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-25 23:21:26
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-25 23:21:30
C:\ComboFix-quarantined-files.txt ... 07-04-25 23:21

Und im Anhang noch alles von datfind...denn das ist zu viel um das hier zu posten.

#6 Ich sehe nach wie vor nichts besonderes. Im Zweifelsfalle den Rechner wirklich neu aufsetzen, bzw es erstmal mit den Windowsupdates versuchen...
__________
MfG Ralf
SEO-Spam Hunter

#7 Gut, ich werd den Rechner dann neu aufsetzen. Trotzdem vielen Dank für die Mühe!

#8 Schau auch mal ins Gehaeuse, nicht das es wirklich nur ein thermisches Problem ist.
__________
MfG Ralf
SEO-Spam Hunter

#9 Ne ist es sicher nicht...das lief ja vorher auch alles und staubig ist der Rechner nicht...bloß...meiner Meinung nach laufen die Lüfter seit dem ich den Rechner habe falsch herum und das ist mir jetzt erstmal aufgefallen. Denn der Laptop bläst schon die ganze zeit die Luft nach unten...nur das die Lüfterblätter mit ihren gekrümmten Schäufelchen eigentlich nicht für den Betrieb in diese Richtung gemacht sind. Boah nur Probleme mit Gericom, wenn ich jemals jemanden von der Firma sehn sollte, dann schlag ich den mit meinem Rechner tot^^...hat jemand ne Ahnung wie man Lüfter umpolt? Ich hab hier 4 Kabel pro Lüfter: Rot, Blau, Gelb, Schwarz.

Aber die Neuinstallation braucht er schon dringend...hab seit 2001 oder so nicht mehr neu installiert...also seit dem ich den Rechner habe.