DriveCleaner Befall - hier das Hijackthis-Logfile |
||
---|---|---|
#0
| ||
28.04.2007, 20:57
Member
Beiträge: 12 |
||
|
||
28.04.2007, 21:05
Member
Beiträge: 3716 |
#2
hi, dein rechner wird in die ukraine umgeleitet! es wird sicher ein rootkit im spiel sein, das sicherste währe format. wenn du weitermachen willst, verzichte auf onlinebanking und geschefte. surfe nur im internet falls nötig beachte genauestens jeden schritt!
: , öffne den arbeitsplatz,extras,ordneroptionen,ansicht dort einstellen: dateinamenerweiterungen bei bekannten dateitypen ausblenden off inhalt von systemordnern einblenden on geschützte systemdateien ausblenden off und versteckte dateien alle einblenden on. nun benenne die hijackthis.exe in hjt.com um, da sich malware vor der hijackthis.exe verstecken kann, achte darauf, das die endung .exe weck ist. erstelle und poste ein log, in dem du die datei öffnest, scan and safe log klickst und dieses postest. lad dir combofix: http://virus-protect.org/artikel/tools/combofix.html poste log. lad filelist, auf dem desktop entpacken, filelist.bat öffnen und von jedem verzeichniss die jeweils letzten 30 tage posten! http://members.linzag.net/680262/filelist.zip rootkitscans: http://www.hijackthis-forum.de/showthread.php?t=20219 bitte all diese rootkitscans durchführen. du musst dafür alle programme ausschalten und das internet auch, kabel ziehen wlan aus. poste alle logs |
|
|
||
28.04.2007, 21:27
Member
Themenstarter Beiträge: 12 |
#3
Hallo Virenfinder!
Ich habe die Einstellungen geändert und folgendes Log erhalten: Logfile of HijackThis v1.99.1 Scan saved at 21:24:51, on 28.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Wistron\AVManager\AVManager.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\svchost.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Hubert\Eigene Dateien\Eigene Downloads\DriveCleaner\hijackthis\hjt.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {E18B757F-2F92-410D-8CBC-405F07B0606A} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104261081168 O17 - HKLM\System\CCS\Services\Tcpip\..\{46A6F428-31FE-4365-A877-6E0033527C43}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{50BC179D-38A2-4002-A192-62CFA90850FE}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{59D9968D-1362-4FBF-B161-BFBB45E8EB0D}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{628A40DD-8B2C-4A67-A49E-2B21F5C9678B}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5A8A1F-7975-4985-9B44-AD3BDF06D471}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{86A00C01-8A8E-4B7F-9D57-0A59A3E5AFE9}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Combofix hatte ich vorher schon einmal durchlaufen lassen, nun noch einmal mit folgendem Ergebnis(Log) und anschließendem Restart: CleanUp! started on 04/28/07 21:27:26. C:\Dokumente und Einstellungen\Hubert\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Hubert\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Hubert\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007042820070429\index.dat currently in use. Will be deleted when Windows is restarted. 'Typed URLs' (Internet Explorer) - removed from the registry. Visited: Hubert@file:///G:/DriveCleaner/hijackthis.log - deleted C:\Dokumente und Einstellungen\Hubert\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Hubert\Recent\DriveCleaner.lnk - deleted C:\Dokumente und Einstellungen\Hubert\Recent\hijackthis.log.lnk - deleted C:\DOKUME~1\Hubert\LOKALE~1\Temp\ginstall.dll - deleted C:\WINDOWS\temp\T30DebugLogFile.txt - deleted C:\WINDOWS\temp\ZLT03d4f.TMP currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\temp\ZLT03d52.TMP currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Hubert\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\Dokumente und Einstellungen\Hubert\Cookies\index.dat currently in use. Will be deleted when Windows is restarted. C:\WINDOWS\Prefetch\ALG.EXE-0F138680.pf - deleted C:\WINDOWS\Prefetch\BTTRAY.EXE-39EE8F25.pf - deleted C:\WINDOWS\Prefetch\CLEANUP452.EXE-24B6113E.pf - deleted C:\WINDOWS\Prefetch\CLSCHED.EXE-141EC4C3.pf - deleted C:\WINDOWS\Prefetch\EXPLORER.EXE-082F38A9.pf - deleted C:\WINDOWS\Prefetch\FXSSVC.EXE-3B8F7819.pf - deleted C:\WINDOWS\Prefetch\HJT.COM-2F987860.pf - deleted C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted C:\WINDOWS\Prefetch\RUNDLL32.EXE-451FC2C0.pf - deleted C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf - deleted C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted C:\WINDOWS\Prefetch\WSCNTFY.EXE-1B24F5EB.pf - deleted C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted C:\WINDOWS\Prefetch\X10NETS.EXE-199F9ADE.pf - deleted 'Run MRU' list - removed from the registry. Search Assistant MRU list - removed from the registry. Explorer Open/Save MRU list - removed from the registry. Explorer Last Visited MRU list - removed from the registry. Telnet's MRU list - removed from the registry. CleanUp! 4.5.2 recovered 1019.5 KB of disk space from 21 files. CleanUp! finished on 04/28/07 21:27:26. Als nächstes mache ich mich an filelist. Gruß + Dank |
|
|
||
28.04.2007, 21:32
Member
Beiträge: 3716 |
#4
also willst du weitermachen trotz rootkit? ich brauche trotzdem das combofixlog... und die rootkitscans
|
|
|
||
28.04.2007, 21:42
Member
Themenstarter Beiträge: 12 |
#5
Ja, ich mach weiter.
Das Combofixlog liefer ich gleich. Hier die Filelist mit den Einträgen aus diesem Jahr, die älteren haben ich aus der Liste rausgenommen: ----- Root ----------------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\ 28.04.2007 21:39 43 filelist.txt 28.04.2007 21:17 535.875.584 hiberfil.sys 28.04.2007 21:17 805.306.368 pagefile.sys 14.03.2007 18:23 66 ICSYSINF.log 15 Datei(en) 1.341.487.562 Bytes 0 Verzeichnis(se), 30.397.468.672 Bytes frei ----- Windows -------------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\WINDOWS 28.04.2007 21:19 3.834 ModemLog_Creatix 2.0 AC'97 Modem.txt 28.04.2007 21:19 1.405.328 WindowsUpdate.log 28.04.2007 21:19 159 wiadebug.log 28.04.2007 21:19 50 wiaservc.log 28.04.2007 21:18 0 0.log 28.04.2007 21:17 2.048 bootstat.dat 28.04.2007 21:17 32.626 SchedLgU.Txt 13.04.2007 12:42 115.788 iis6.log 13.04.2007 12:42 247.179 comsetup.log 13.04.2007 12:42 149.232 ntdtcsetup.log 13.04.2007 12:42 283.146 tsoc.log 13.04.2007 12:42 1.374 imsins.log 13.04.2007 12:42 39.732 ocmsn.log 13.04.2007 12:42 14.662 KB931784.log 13.04.2007 12:42 36.047 msgsocm.log 13.04.2007 12:42 352.652 ocgen.log 13.04.2007 12:42 726.535 FaxSetup.log 13.04.2007 12:42 97.004 setupapi.log 13.04.2007 12:41 1.374 imsins.BAK 13.04.2007 12:41 12.504 KB931261.log 13.04.2007 12:41 12.809 KB930178.log 13.04.2007 12:41 51.126 updspapi.log 13.04.2007 12:41 12.721 KB932168.log 12.04.2007 19:56 116 NeroDigital.ini 04.04.2007 19:56 12.661 KB925902.log 16.03.2007 14:32 15.461 KB929338.log 14.03.2007 14:13 75.394 wmsetup.log 09.03.2007 00:02 42.648 zllsputility_loc0407.dll 09.03.2007 00:02 75.512 zllsputility.exe 08.03.2007 18:33 568 win.ini 20.02.2007 22:52 21.368 KB927779.log 20.02.2007 22:52 18.364 KB927802.log 20.02.2007 22:51 18.098 KB928255.log 20.02.2007 22:51 9.764 KB923723.log 20.02.2007 22:51 14.541 KB924667.log 20.02.2007 22:51 26.979 KB931836.log 20.02.2007 22:51 16.485 KB926436.log 20.02.2007 22:51 17.011 KB918118.log 20.02.2007 22:50 20.154 KB928090.log 20.02.2007 22:50 10.952 KB928843.log 14.01.2007 13:35 10.806 KB929969.log 214 Datei(en) 17.516.427 Bytes 0 Verzeichnis(se), 30.397.440.000 Bytes frei ----- System --- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\WINDOWS\system 04.08.2004 14:00 70.368 AVICAP.DLL 04.08.2004 14:00 109.504 AVIFILE.DLL 04.08.2004 14:00 33.744 COMMDLG.DLL 04.08.2004 14:00 2.000 KEYBOARD.DRV 04.08.2004 14:00 9.936 LZEXPAND.DLL 04.08.2004 14:00 73.760 MCIAVI.DRV 04.08.2004 14:00 25.296 MCISEQ.DRV 04.08.2004 14:00 28.160 MCIWAVE.DRV 04.08.2004 14:00 69.632 MMSYSTEM.DLL 04.08.2004 14:00 1.152 MMTASK.TSK 04.08.2004 14:00 2.032 MOUSE.DRV 04.08.2004 14:00 127.104 MSVIDEO.DLL 04.08.2004 14:00 82.944 OLECLI.DLL 04.08.2004 14:00 24.064 OLESVR.DLL 04.08.2004 14:00 59.167 setup.inf 04.08.2004 14:00 5.120 SHELL.DLL 04.08.2004 14:00 1.744 SOUND.DRV 04.08.2004 14:00 5.532 stdole.tlb 04.08.2004 14:00 3.360 SYSTEM.DRV 04.08.2004 14:00 19.200 TAPI.DLL 04.08.2004 14:00 4.048 TIMER.DRV 04.08.2004 14:00 9.200 VER.DLL 04.08.2004 14:00 2.176 VGA.DRV 04.08.2004 14:00 13.600 WFWNET.DRV 04.08.2004 14:00 146.944 WINSPOOL.DRV 25 Datei(en) 929.787 Bytes 0 Verzeichnis(se), 30.397.440.000 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\WINDOWS\system32 28.04.2007 21:19 55.081 vsconfig.xml 28.04.2007 20:11 4.212 zllictbl.dat 28.04.2007 20:02 375.740 perfh009.dat 28.04.2007 20:02 51.538 perfc009.dat 28.04.2007 20:02 393.086 perfh007.dat 28.04.2007 20:02 64.848 perfc007.dat 28.04.2007 17:29 1.158 wpa.dbl 05.04.2007 17:30 232.776 FNTCACHE.DAT 04.04.2007 19:33 896.392 PerfStringBackup.INI 03.04.2007 22:48 13.511.640 MRT.exe 17.03.2007 15:44 293.376 winsrv.dll 09.03.2007 12:24 123.392 xpsp3res.dll 09.03.2007 00:02 54.936 vsutil_loc0407.dll 09.03.2007 00:02 18.072 imslsp_install_loc0407.dll 09.03.2007 00:02 22.168 imsinstall_loc0407.dll 09.03.2007 00:02 394.192 vsdatant.sys 09.03.2007 00:01 1.087.216 zpeng24.dll 09.03.2007 00:01 71.408 zlcommdb.dll 09.03.2007 00:01 46.832 vswmi.dll 09.03.2007 00:01 100.080 vsxml.dll 09.03.2007 00:01 83.696 zlcomm.dll 09.03.2007 00:01 472.816 vsutil.dll 09.03.2007 00:01 104.176 vsmonapi.dll 09.03.2007 00:01 71.408 vsregexp.dll 09.03.2007 00:01 276.208 vspubapi.dll 09.03.2007 00:01 157.424 vsinit.dll 09.03.2007 00:01 83.696 vsdata.dll 09.03.2007 00:01 796.312 libeay32_0.9.6l.dll 08.03.2007 17:36 281.600 gdi32.dll 08.03.2007 17:36 579.072 user32.dll 08.03.2007 17:36 40.960 mf3216.dll 08.03.2007 17:32 1.843.712 win32k.sys 28.02.2007 18:02 2.182.656 ntoskrnl.exe 28.02.2007 18:02 2.059.904 ntkrnlpa.exe 20.02.2007 22:51 122.142 TZLog.log 05.02.2007 22:18 185.856 upnphost.dll 29.01.2007 10:58 60.416 tzchange.exe 25.01.2007 14:52 617.472 urlmon.dll 23.01.2007 21:30 546.304 hhctrl.ocx 04.01.2007 15:41 664.576 wininet.dll 04.01.2007 15:41 474.624 shlwapi.dll 04.01.2007 15:41 1.494.528 shdocvw.dll 04.01.2007 15:41 39.424 pngfilt.dll 04.01.2007 15:41 532.480 mstime.dll 04.01.2007 15:40 146.432 msrating.dll 04.01.2007 15:40 448.512 mshtmled.dll 04.01.2007 15:40 3.077.632 mshtml.dll 04.01.2007 15:40 16.384 jsproxy.dll 04.01.2007 15:40 96.768 inseng.dll 04.01.2007 15:40 251.392 iepeers.dll 04.01.2007 15:40 205.312 dxtrans.dll 04.01.2007 15:40 1.056.256 danim.dll 04.01.2007 15:40 357.888 dxtmsft.dll 04.01.2007 15:40 55.808 extmgr.dll 04.01.2007 15:40 152.064 cdfview.dll 04.01.2007 15:40 1.023.488 browseui.dll 0 Verzeichnis(se), 30.397.259.776 Bytes frei ----- Prefetch ------------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\WINDOWS\Prefetch 28.04.2007 21:39 13.460 FIND.EXE-0EC32F1E.pf 28.04.2007 21:39 13.316 CMD.EXE-087B4001.pf 28.04.2007 21:38 16.114 VERCLSID.EXE-3667BD89.pf 28.04.2007 21:38 13.070 RUNDLL32.EXE-451FC2C0.pf 28.04.2007 21:37 22.076 WMIPRVSE.EXE-28F301A9.pf 28.04.2007 21:37 11.136 OSD.EXE-1249DB6E.pf 28.04.2007 21:37 20.760 HOTKEYAPP.EXE-15C2C304.pf 28.04.2007 21:37 13.770 LAUNCHAP.EXE-055A5C9F.pf 28.04.2007 21:37 16.254 RUNDLL32.EXE-1218E1AC.pf 28.04.2007 21:37 17.370 USERINIT.EXE-30B18140.pf 28.04.2007 21:37 13.512 ATI2EVXX.EXE-19D16EB9.pf 28.04.2007 21:37 37.896 WSCNTFY.EXE-1B24F5EB.pf 28.04.2007 21:37 79.754 EXPLORER.EXE-082F38A9.pf 28.04.2007 21:29 19.838 LOGONUI.EXE-0AF22957.pf 28.04.2007 21:28 27.570 WORDPAD.EXE-1EFCC5C1.pf 28.04.2007 21:27 18.618 CLEANUP.EXE-21B56F2B.pf 16 Datei(en) 354.514 Bytes 0 Verzeichnis(se), 30.397.337.600 Bytes frei ----- Tasks ---------------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\WINDOWS\tasks 28.04.2007 21:18 6 SA.DAT 04.08.2004 14:00 65 desktop.ini 2 Datei(en) 71 Bytes 0 Verzeichnis(se), 30.397.337.600 Bytes frei ----- Windows/Temp ----------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\WINDOWS\Temp 28.04.2007 21:18 256 ZLT03d52.TMP 28.04.2007 21:18 256 ZLT03d4f.TMP 2 Datei(en) 512 Bytes 0 Verzeichnis(se), 30.397.337.600 Bytes frei ----- Temp ----------------------------- Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 5015-6106 Verzeichnis von C:\DOKUME~1\Hubert\LOKALE~1\Temp |
|
|
||
28.04.2007, 21:52
Member
Beiträge: 3716 |
#6
diese dateien überprüfen:
C:\WINDOWS zllsputility_loc0407.dll zllsputility.exe C:\WINDOWS\system32 zpeng24.dll http://virusscan.Jotti.org/de/ ergebnisse posten |
|
|
||
28.04.2007, 21:59
Member
Themenstarter Beiträge: 12 |
#7
Was genau meinst Du mit prüfen? Kannst Du mir bitte sagen, mit welcher Datei ich was machen soll?
Bei dem Link erhalte ich momentan folgende Rückmeldung: 'Error: unable to connect to database. The administrator has already been notified, it is not necessary to contact us.' Gruß + Dank Und hier das Combofixlog - wie wichtig/kritisch sind die rootkitscans?: "Hubert" - 07-04-28 21:50:51 Service Pack 2 ComboFix 07-04-25.4V - Running from: "C:\Dokumente und Einstellungen\Hubert\Eigene Dateien\Eigene Downloads\DriveCleaner\" (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOKUME~1\Hubert\Desktop\internet.lnk C:\WINDOWS\system32\kdlxr.exe ((((((((((((((((((((((((((((((( Files Created from 2007-03-28 to 2007-04-28 )))))))))))))))))))))))))))))))))) 2007-04-28 20:27 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys 2007-04-28 20:27 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys 2007-04-28 20:27 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic 2007-04-28 20:09 75,512 --a------ C:\WINDOWS\zllsputility.exe 2007-04-28 20:09 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll 2007-04-28 20:09 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll 2007-04-28 20:09 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2007-04-28 20:09 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll 2007-04-28 20:09 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll 2007-04-28 20:09 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2007-04-28 20:08 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll 2007-04-28 20:08 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs 2007-04-28 20:00 <DIR> d-------- C:\WINDOWS\Internet Logs (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-04-28 20:02 64848 --a------ C:\WINDOWS\system32\perfc007.dat 2007-04-28 20:02 393086 --a------ C:\WINDOWS\system32\perfh007.dat 2007-04-12 19:50 3794 --a------ C:\DOKUME~1\Hubert\ANWEND~1\wklnhst.dat 2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll 2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll 2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll 2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll 2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys 2007-02-28 14:03 -------- d-------- C:\Programme\google 2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll {AA58ED58-01DD-4d91-8333-CF10577473F7} c:\programme\google\googletoolbar3.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] "BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" "LaunchAp"="C:\\Programme\\Launch Manager\\LaunchAp.exe" "HotkeyApp"="C:\\Programme\\Launch Manager\\HotkeyApp.exe" "LMgrOSD"="C:\\Programme\\Launch Manager\\OSD.exe" "Wbutton"="\"C:\\Programme\\Launch Manager\\Wbutton.exe\"" "CtrlVol"="C:\\Programme\\Launch Manager\\CtrlVol.exe" "AVManager"="\"C:\\Programme\\Wistron\\AVManager\\AVManager.exe\"" "SoundMan"="SOUNDMAN.EXE" "AGRSMMSG"="AGRSMMSG.exe" "SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe" "SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe" "IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32" "MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC" "PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC" "PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName" "AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe" "ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe" "RemoteControl"="\"C:\\Programme\\Home Cinema\\PowerDVD\\PDVDServ.exe\"" "PCMService"="\"C:\\Programme\\Home Cinema\\PowerCinema\\PCMService.exe\"" "QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "SDR6U_Check"="\"C:\\Programme\\Gemeinsame Dateien\\DriveCleaner 2006 Free\\sdrmon.exe\"" "ZoneAlarm Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\"" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] "MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background" "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\"" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] HTTPFilter REG_MULTI_SZ HTTPFilter\0\0 LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 bthsvcs REG_MULTI_SZ BthServ\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 *newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_ATWPKT2 ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-04-28 22:01:43 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 ******************************************************************** Completion time: 07-04-28 22:02:06 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 07-04-28 22:02 Dieser Beitrag wurde am 28.04.2007 um 22:06 Uhr von Garfield_72 editiert.
|
|
|
||
28.04.2007, 22:13
Member
Beiträge: 3716 |
#8
all die dateien, die ich dir genannt hab... einfach zum ordner navigieren, anklicken, senden klicken. aber mach erst mal die rootkitscans
|
|
|
||
28.04.2007, 22:31
Member
Themenstarter Beiträge: 12 |
#9
Hi virenfinder! Ich werd die scans morgen vormittag machen und auch die Dateien prüfen.
Bis morgen und vielen Dank soweit! Logs der Rootkitscans(alle durchgeführt): 1) RootkitReavealer: HKU\.DEFAULT\Control Panel\International 28.04.2007 22:02 0 bytes Security mismatch. HKU\.DEFAULT\Control Panel\International\Geo 28.04.2007 22:02 0 bytes Security mismatch. HKU\S-1-5-21-3468148936-235107747-1995932727-1008\Control Panel\International 28.04.2007 22:02 0 bytes Security mismatch. HKU\S-1-5-21-3468148936-235107747-1995932727-1008\Control Panel\International\Geo 28.04.2007 22:02 0 bytes Security mismatch. HKU\S-1-5-18\Control Panel\International 28.04.2007 22:02 0 bytes Security mismatch. HKU\S-1-5-18\Control Panel\International\Geo 28.04.2007 22:02 0 bytes Security mismatch. HKLM\SECURITY\Policy\Secrets\SAC* 28.12.2004 20:00 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 28.12.2004 20:00 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\cfexefile\DefaultIcon 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\open 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\open\command 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\runas 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\runas\command 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\DropHandler 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\PifProps 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\ShimLayer Property Page 28.04.2007 21:50 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\webcal\URL Protocol 21.03.2005 21:33 13 bytes Data mismatch between Windows API and raw hive data. 2) Blacklight: 04/29/07 07:51:08 [Info]: BlackLight Engine 1.0.61 initialized 04/29/07 07:51:08 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/29/07 07:51:09 [Note]: 7019 4 04/29/07 07:51:09 [Note]: 7005 0 04/29/07 07:51:17 [Note]: 7006 0 04/29/07 07:51:17 [Note]: 7011 200 04/29/07 07:51:17 [Note]: 7026 0 04/29/07 07:51:17 [Note]: 7026 0 04/29/07 07:51:22 [Note]: FSRAW library version 1.7.1021 04/29/07 07:57:49 [Note]: 2000 1012 04/29/07 07:58:25 [Note]: 7007 0 3) Sophos: Sophos Anti-Rootkit Version 1.2 (data 1.01) (c) 2006 Sophos Plc Started logging on 29.04.2007 at 08:31:31 Stopped logging on 29.04.2007 at 08:35:02 4) Gmer: GMER 1.0.12.12244 - http://www.gmer.net Rootkit scan 2007-04-29 08:27:30 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.12 ---- SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey ---- Kernel code sections - GMER 1.0.12 ---- ? srescan.sys Das System kann die angegebene Datei nicht finden. ? C:\WINDOWS\system32\DRIVERS\update.sys ? C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS Das System kann die angegebene Datei nicht finden. ---- Devices - GMER 1.0.12 ---- Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [BAF0A8A0] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [BAF0A8A0] vsdatant.sys ---- EOF - GMER 1.0.12 ---- 5) AVG Antirootkit Zweimal als Ergebnis: no rootkits found 6) Bitdefender Antirootkit-ß no hidden items found 7) Trend Micro +---------------------------------------------------- | Trend Micro RootkitBuster 1.6 Beta. | Module version: 1.6.0.1052 +---------------------------------------------------- --== Dump Hidden File on C:\ ==-- No hidden files found. --== Dump Hidden Registry Value on HKLM ==-- No hidden registry entries found. --== Dump Hidden Process ==-- No hidden processes found. --== Dump Hidden Driver ==-- No hidden drivers found. 8) Panda Anti-Rootkit Result: No rootkits have been found. Dieser Beitrag wurde am 29.04.2007 um 09:12 Uhr von Garfield_72 editiert.
|
|
|
||
29.04.2007, 09:01
Ehrenmitglied
Beiträge: 6028 |
#10
Guten Morgen Herbert
Schau mal nach ob Drivecleaner bei Software steht wenn ja,entfernen Und poste ein neues log von HJ __________ MfG Argus |
|
|
||
29.04.2007, 09:19
Member
Themenstarter Beiträge: 12 |
#11
Moin moin Arnold
Als Software hatte ich DriveCleaner gestern schon vorher entfernt - ist nicht mehr in der Liste. Überprüfung folgendern Dateien (s.o.) mit http://virusscan.Jotti.org/de/: diese dateien überprüfen: C:\WINDOWS zllsputility_loc0407.dll : keine Viren gefunden zllsputility.exe : keine Viren gefunden C:\WINDOWS\system32 zpeng24.dll : läuft noch Hier das neue Hijackthis 1.99.1 Log: Logfile of HijackThis v1.99.1 Scan saved at 09:22:00, on 29.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Wistron\AVManager\AVManager.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Hubert\Eigene Dateien\Eigene Downloads\DriveCleaner\hijackthis\hjt.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {E18B757F-2F92-410D-8CBC-405F07B0606A} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104261081168 O17 - HKLM\System\CCS\Services\Tcpip\..\{46A6F428-31FE-4365-A877-6E0033527C43}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{50BC179D-38A2-4002-A192-62CFA90850FE}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{59D9968D-1362-4FBF-B161-BFBB45E8EB0D}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{628A40DD-8B2C-4A67-A49E-2B21F5C9678B}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5A8A1F-7975-4985-9B44-AD3BDF06D471}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{86A00C01-8A8E-4B7F-9D57-0A59A3E5AFE9}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Dieser Beitrag wurde am 29.04.2007 um 09:40 Uhr von Garfield_72 editiert.
|
|
|
||
29.04.2007, 09:40
Ehrenmitglied
Beiträge: 6028 |
#12
Starte Hijack This mit "do a system scan only"
Und setz ein haecken fuer O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe" O17 - HKLM\System\CCS\Services\Tcpip\..\{46A6F428-31FE-4365-A877-6E0033527C43}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{50BC179D-38A2-4002-A192-62CFA90850FE}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{59D9968D-1362-4FBF-B161-BFBB45E8EB0D}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{628A40DD-8B2C-4A67-A49E-2B21F5C9678B}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5A8A1F-7975-4985-9B44-AD3BDF06D471}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{86A00C01-8A8E-4B7F-9D57-0A59A3E5AFE9}: NameServer = 85.255.113.90,85.255.112.5 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5 Klicke auf "Fix Checked". Beende HijackThis Solltest du Probleme mit deiner Internet Verbindung bekommen: Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden). -> Start -> ausführen -> schreib rein: "ipconfig /flushdns" (beachte das Leerzeichen hinter 'ipconfig'!) Download CounterSpy und scan dein PC http://www.virus-protect.org/counterspy.html und berichte __________ MfG Argus |
|
|
||
29.04.2007, 10:11
Member
Beiträge: 3716 |
#13
hi, wenn du die o17-einträge fixt, mache danach deine systemwiderherstellung aus, starte den pc neu. gehe danach auf:
PC neustarten aufNetzwerk/Eigenschaften dns automatisch beziehen. und die ip 85.255.113.90,85.255.112.5 dort löschen! bitte poste nach einem weiteren neustart das hjtlog. wir sind dann nich nciht fertig. |
|
|
||
29.04.2007, 10:13
Member
Beiträge: 3716 |
#14
nutze bitte auch smitfraudfix:
http://siri.geekstogo.com/SmitfraudFix_De.php bitte poste beide logs, wobei die reinigung im abgesicherten modus stattfinden muss. |
|
|
||
29.04.2007, 10:16
Member
Beiträge: 3716 |
#15
hi, sorry, für das durcheinander... benutze for dem fixen der o17-einträge dies hier:
http://virus-protect.org/artikel/tools/fixwareout.html poste das log. |
|
|
||
Ich bin gerade dabei, einen 'befallenen' Computer zu säubern, der Popups bzgl. des Besuchs von Sexseiten etc. bringt und auf DriveCleaner verlinkt. Der Internet Explorer zeigt auf diesem Rechner auch ein komisches Verhalten, so springt er von der Google Trefferliste z.B. nicht direkt zu Antivir ab.
Ich hoffe, ihr könnt mir helfen, vielen Dank im voraus! :-)
Anbei das Hijackthis-Logfile (erstellt mit Hijackthis 1.99.1 ):
Logfile of HijackThis v1.99.1
Scan saved at 20:48:01, on 28.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Wistron\AVManager\AVManager.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\DOKUME~1\Hubert\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AVManager] "C:\Programme\Wistron\AVManager\AVManager.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {E18B757F-2F92-410D-8CBC-405F07B0606A} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104261081168
O17 - HKLM\System\CCS\Services\Tcpip\..\{46A6F428-31FE-4365-A877-6E0033527C43}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{50BC179D-38A2-4002-A192-62CFA90850FE}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{59D9968D-1362-4FBF-B161-BFBB45E8EB0D}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{628A40DD-8B2C-4A67-A49E-2B21F5C9678B}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5A8A1F-7975-4985-9B44-AD3BDF06D471}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{86A00C01-8A8E-4B7F-9D57-0A59A3E5AFE9}: NameServer = 85.255.113.90,85.255.112.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.90 85.255.112.5
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe