Tr/spy.vbstat.b und Vundo + einen Agent

#1 vorgestern sind auf meinem computer plötzlich einfach irgendwelche seiten aufgetaucht. ich dachte das sei ein virus - also wieder mal systemscan. als ich den fertig hatte sah ich tonnen von virusen in den Volume System information und im system32. alle mit random dll namen. ich sah einen vundo - also Vundofix. hab inzwischen 3 verschiedene Vundofix progs aufm PC- keines hat was gebracht. VBStat hab ich erst später bemerkt. gestern am abend war ich total verzweifelt weil es noch ein paar Agents im system hatte usw. ich lass tonnenweise forumbeiträge hier. Ich hab mir Hijackthis besorgt und es bei hijackthis.de durchgehen lassen. es hat schon einige Krueze und so gegeben.

Logfile of HijackThis v1.99.1
Scan saved at 11:11:55, on 18.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ESTsoft\ALZip\ALZip.exe
C:\Dokumente und Einstellungen\Kunde\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.metacrawl.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 66.90.73.19:7049
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Firewall] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Firewall] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163248342690
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe




da ich mich damit nicht so gut auskenne wie ihr möchte ich nicht schon einfach wild draufloslöschen. svchost virus habe ich auch (hab ich gesehen bei hijackthis) nun, gestern habe ich schon eines gelöescht das ein virus war. Ich glaube mein PC ist vollkommen virenverseucht. weil ich seit gestern kaum was machen kann. Sobald ich ein spiel aufstarte, kann ich pro anderes programm das ich aufstarte 5 mins warten bis es endlich anklickbar ist (es kommt schon vorher aber "keine Rückmeldung".) System neu aufsetzen oder kriegt man das wieder hin? ich hab keine WinXp CD. und KA wie man ein system aufsetzt (noch nie gemacht).


Edit: ausserdem hab ich mir noch Spybot besorgt der mir änderungen an der registry verhindert. jetzt hab ich einfach die rechte seite meines bilschirmes vollgespammt wen ich den unten anklicke. da ich die zugriffe auf die registry vom virus blocke

#2 http://board.protecus.de/t23187.htm

arbeite das erstmal vollständig ab

#3 In deinem Fall mache die Arbeiten, die in dem Thread aufgelistet sind bitte im abgesicherten Modus, sonst funkt der Teatimer gewaltig dazwischen!
Der Teatimer ist zwar ein gutes Produkt, wenn es um Malwareabwher geht, aber ist das System einmal verseucht, stoert er ein wenig!
__________
MfG Ralf
SEO-Spam Hunter

#4 das problem ist. ich kann NICHT in dem abgesicherten modus aufstarten. wenn ich F8 taste durecke kommt die auswahl, ich geh auf abgesicherter modus, der PC rebootet die auswahl kommt gleich wieder ich geh wieder auf abgesicherter modus, es rebootet wieder und kommt wieder das abgesicherter modus zeugs....................................... -_- da hilft wohl nur neu aufsetzten oder?

#5 wenn du nichtmal in den abgesicherten Modus kommst ist dasd schon irgendwie bitter.

#6 Hm, dann nutze die Dinge im Normalen Modus, aber deaktiviere den Teatimer vorher. Starte combofix mit der Option /WOW
__________
MfG Ralf
SEO-Spam Hunter

#7 System 32.txt




Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

18.05.2007 13:33 1'158 wpa.dbl
18.05.2007 13:01 243'788 MSVRCTDR.dll
18.05.2007 11:50 98'304 MSVRCTD.DLL
17.05.2007 19:17 99'712 perfc007.dat
17.05.2007 19:17 449'250 perfh009.dat
17.05.2007 19:17 474'282 perfh007.dat
17.05.2007 19:17 80'794 perfc009.dat
17.05.2007 19:17 972'702 PerfStringBackup.INI
17.05.2007 13:01 181'832 FNTCACHE.DAT
17.05.2007 10:38 122'142 TZLog.log
16.05.2007 23:04 1'385'744 msvbvm60.dll
16.05.2007 14:40 4'196 jupdate-1.6.0_01-b06.log
16.05.2007 12:21 1'725'588 tcuchwyd.ini
15.05.2007 22:11 0 mcrh.tmp
14.05.2007 17:46 34'308 BASSMOD.dll
08.05.2007 19:17 37'473 muzika.xm
06.05.2007 18:04 22'528 winuns32.dll
27.04.2007 13:45 14'970'328 MRT.exe
03.04.2007 16:28 383'488 ieapfltr.dll
03.04.2007 06:36 2'453'952 ieapfltr.dat
02.04.2007 14:21 428'032 swreg.exe
17.03.2007 15:44 293'376 winsrv.dll
15.03.2007 18:19 1'476'992 LegitCheckControl.dll
15.03.2007 18:17 337'280 WgaTray.exe
15.03.2007 18:16 236'928 WgaLogon.dll
09.03.2007 13:51 270'336 xpsp3res.dll
08.03.2007 17:36 40'960 mf3216.dll
08.03.2007 17:36 579'072 user32.dll
08.03.2007 17:36 281'600 gdi32.dll
08.03.2007 17:32 1'843'712 win32k.sys
07.03.2007 19:40 1'150'464 urlmon.dll
07.03.2007 19:40 232'960 webcheck.dll
07.03.2007 19:40 822'784 wininet.dll
07.03.2007 19:40 105'984 url.dll
07.03.2007 19:40 193'024 msrating.dll
07.03.2007 19:40 670'720 mstime.dll
07.03.2007 19:40 102'400 occache.dll
07.03.2007 19:40 477'696 mshtmled.dll
07.03.2007 19:40 3'581'952 mshtml.dll
07.03.2007 19:40 44'544 iernonce.dll
07.03.2007 19:40 51'712 msfeedsbs.dll
07.03.2007 19:40 6'054'400 ieframe.dll
07.03.2007 19:40 458'752 msfeeds.dll
07.03.2007 19:40 266'752 iertutil.dll
07.03.2007 19:40 27'136 jsproxy.dll
07.03.2007 19:40 1'823'744 inetcpl.cpl
07.03.2007 19:40 384'000 iedkcs32.dll
07.03.2007 19:40 230'400 ieaksie.dll
07.03.2007 19:40 153'088 ieakeng.dll
07.03.2007 19:40 124'928 advpack.dll
07.03.2007 19:40 132'608 extmgr.dll
07.03.2007 10:27 56'832 ie4uinit.exe
02.03.2007 21:48 48'640 Suchspur.dll
28.02.2007 18:02 2'138'624 ntoskrnl.exe
28.02.2007 18:02 2'018'304 ntkrnlpa.exe
27.02.2007 10:20 13'824 ieudinit.exe
21.02.2007 10:00 161'792 ieakui.dll
14.02.2007 11:43 25'130 winupsvc.exe
14.02.2007 11:43 25'130 winsvcup.exe
05.02.2007 22:18 185'856 upnphost.dll
31.01.2007 08:47 1'040'384 ieframe.dll.mui
29.01.2007 09:58 60'416 tzchange.exe
23.01.2007 20:30 546'304 hhctrl.ocx





systemtemp.txt


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Kunde\LOKALE~1\Temp

18.05.2007 13:37 289 datFind.zip
1 Datei(en) 289 Bytes
0 Verzeichnis(se), 126'059'118'592 Bytes frei





system.txt




Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

18.05.2007 13:33 79'989 setupapi.log
18.05.2007 13:32 0 0.log
18.05.2007 13:32 2'048 bootstat.dat
18.05.2007 13:25 1'512'086 WindowsUpdate.log
18.05.2007 12:32 322 Kopie (5) von wpe_0delay.INI
18.05.2007 12:08 323 wpe_0delay.INI
18.05.2007 11:28 159 wiadebug.log
17.05.2007 17:26 323 Kopie von wpe_0delay.INI
17.05.2007 16:17 75'414 wmsetup.log
17.05.2007 16:11 379 wmsetup10.log
17.05.2007 14:28 323 Kopie von Kopie von wpe_0delay.INI
17.05.2007 13:00 32'564 SchedLgU.Txt
17.05.2007 10:39 344'193 ocgen.log
17.05.2007 10:39 31'438 KB927779.log
17.05.2007 10:39 114'681 iis6.log
17.05.2007 10:39 39'189 ocmsn.log
17.05.2007 10:39 35'788 msgsocm.log
17.05.2007 10:39 276'671 tsoc.log
17.05.2007 10:39 148'072 ntdtcsetup.log
17.05.2007 10:39 247'604 comsetup.log
17.05.2007 10:39 728'618 FaxSetup.log
17.05.2007 10:39 1'374 imsins.log
17.05.2007 10:39 76'649 updspapi.log
17.05.2007 10:38 27'997 KB927802.log
17.05.2007 10:38 1'374 imsins.BAK
17.05.2007 10:38 28'505 KB928255.log
17.05.2007 10:38 25'854 KB931784.log
17.05.2007 10:38 25'109 KB924667.log
17.05.2007 10:38 23'981 KB931261.log
17.05.2007 10:38 37'745 KB931836.log
17.05.2007 10:38 20'924 WgaNotify.log
17.05.2007 10:36 24'580 KB925902.log
17.05.2007 10:36 22'649 KB931768-IE7.log
17.05.2007 10:35 19'485 KB926436.log
17.05.2007 10:35 16'098 KB930178.log
17.05.2007 10:35 20'143 KB932168.log
17.05.2007 10:35 17'154 KB918118.log
17.05.2007 10:35 18'937 KB929969.log
17.05.2007 10:35 13'696 KB930916.log
17.05.2007 10:35 16'192 KB928843.log
16.05.2007 16:38 8'004 spupdsvc.log
16.05.2007 16:37 23'960 ie7_main.log
16.05.2007 16:23 60'704 ie7.log
16.05.2007 16:22 11'684 IDNMitigationAPIs.log
16.05.2007 16:22 10'050 NLSDownlevelMapping.log
16.05.2007 16:21 7'004 KB915865.log
16.05.2007 16:20 6'217 KB914440.log
16.05.2007 14:56 1'255'552 setupapi.log.0.old
16.05.2007 14:41 548 KB893803v2Uninst.log
16.05.2007 14:40 3'025 mozver.dat
13.05.2007 09:10 321 Kopie (4) von wpe_0delay.INI
13.05.2007 00:00 50 wiaservc.log
11.05.2007 21:10 322 Kopie (3) von wpe_0delay.INI
11.05.2007 19:41 322 Kopie (2) von wpe_0delay.INI
06.05.2007 12:32 116 NeroDigital.ini
28.04.2007 09:20 321 Kopie von PSniff.INI
25.04.2007 10:44 1'733 Firefoxl.INI
25.04.2007 10:44 1'733 gambel.INI
25.04.2007 10:36 1'733 E-Search.INI
25.04.2007 10:36 1'731 xDD.INI
21.04.2007 03:52 86'528 catchme.exe
18.04.2007 23:14 334 PSniff.INI
17.04.2007 09:43 3'244 OEWABLog.txt
14.04.2007 10:28 400 ODBC.INI
16.03.2007 17:42 6'078 DPINST.LOG
15.03.2007 13:03 60'416 ALCFDRTM.VER
14.03.2007 11:31 231 system.ini
09.03.2007 18:22 324 WPE_PRO.INI
02.03.2007 23:09 139'590 ktd32.atm
02.03.2007 22:59 49'277 Load.zip
02.03.2007 21:53 98'304 system32CmdLineExt.dll
01.03.2007 15:28 614 win.ini
01.03.2007 15:28 216'064 iun3405.exe
27.02.2007 16:40 20'312 DirectX.log
24.02.2007 09:06 2'057 my.ini
23.02.2007 22:34 356 aspack.ini
18.02.2007 10:12 13'399 KB928090.log
11.02.2007 19:49 737'280 iun6002.exe
04.02.2007 18:09 626'688 Garfield 25th Anniversary.scr
04.02.2007 18:08 12'288 impborl.dll
19.01.2007 18:32 194'560 Garfields 9 Lives.scr
19.01.2007 18:32 606'848 flashax.exe
19.01.2007 18:27 194'560 Garfield Guide to Cats.scr
13.01.2007 12:45 335 mozregistry.dat




tmp.txt


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

18.05.2007 13:36 0 winC.tmp
18.05.2007 13:36 55 winB.tmp
18.05.2007 13:32 0 JETA817.tmp
3 Datei(en) 55 Bytes
0 Verzeichnis(se), 126'059'053'056 Bytes frei




down.txt




Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5'019 swflash.inf
26.05.2005 04:19 291 wuweb.inf
26.01.2005 12:29 65 desktop.ini
3 Datei(en) 5'375 Bytes
0 Verzeichnis(se), 126'059'020'288 Bytes frei











sys.txt






Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

18.05.2007 13:39 384 down.txt
18.05.2007 13:39 0 sys.txt
18.05.2007 13:39 360 tmp.txt
18.05.2007 13:39 13'352 system.txt
18.05.2007 13:38 284 systemtemp.txt
18.05.2007 13:37 107'062 system32.txt
18.05.2007 13:35 2'109 ComboFix-quarantined-files.txt
18.05.2007 13:35 8'229 ComboFix.txt
18.05.2007 13:32 1'072'222'208 hiberfil.sys
18.05.2007 13:32 1'610'612'736 pagefile.sys
18.05.2007 13:29 64 Kopie von ComboFix.txt
18.05.2007 13:01 9 dxsize.txt
18.05.2007 10:54 12'533 VundoFix.txt
16.05.2007 14:49 20 sccfg.sys
16.05.2007 14:49 988 hook.log
06.05.2007 15:02 130 2007-5-6 CustomerDebug.Log
02.03.2007 22:59 49'277 Load.zip
28.02.2007 14:02 875 list
18.01.2007 11:54 899 Verkn�pfung mit easyphp.exe.lnk





Diese 6 dateien wurden der reihenfolge gepostet. falls die namen nicht stimmen kurz nahc der reihenfolge schauen. (Datfindbat)



so und hier kommt nun Combofix.txt


"Kunde" - 2007-05-18 13:29:45 Service Pack 2
ComboFix 07-05.17.6.V - Running from: "C:\Programme\Mozilla Firefox\"


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\vturp.dll
C:\WINDOWS\system32\qstwa.ini
C:\WINDOWS\system32\qstwa.bak1
C:\WINDOWS\system32\qstwa.bak2
C:\WINDOWS\system32\qstwa.ini2
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\efcdefg.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1583OinUninstaller.exe
C:\windows\system32\system.dll
C:\Programme\Gemeinsame Dateien\{320D1~1


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_COM+_MESSAGES
-------\LEGACY_NM
-------\nm


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-18 ))))))))))))))))))))))))))))))))))


2007-05-17 19:12 <DIR> d-------- C:\Programme\Microsoft SQL Server
2007-05-17 19:04 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8
2007-05-17 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Merge Modules
2007-05-17 19:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
2007-05-17 15:37 <DIR> d-------- C:\DOKUME~1\Kaishyn\ANWEND~1\ESTsoft
2007-05-17 11:12 <DIR> d-------- C:\DOKUME~1\Kaikou\ANWEND~1\teamspeak2
2007-05-17 09:37 <DIR> d-------- C:\Programme\RegistryFix
2007-05-16 23:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-05-16 22:31 <DIR> d-------- C:\Programme\Dragonraja
2007-05-16 21:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-05-16 20:50 <DIR> d-------- C:\DOKUME~1\Kunde\ANWEND~1\Lavasoft
2007-05-16 20:49 <DIR> d-------- C:\Programme\Lavasoft
2007-05-16 19:12 <DIR> d--hs---- C:\FOUND.011
2007-05-16 16:23 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-05-16 16:20 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-05-16 13:52 <DIR> d-------- C:\VundoFix Backups
2007-05-16 12:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-05-16 11:16 <DIR> d-------- C:\test
2007-05-06 18:05 22,528 --a------ C:\WINDOWS\system32\winuns32.dll
2007-05-06 17:10 50,688 --------- C:\WINDOWS\system32\speederDll.dll
2007-05-06 17:10 1,422,336 --a------ C:\WINDOWS\system32\qtintf70.dll
2007-05-06 17:10 <DIR> d-------- C:\Programme\berylsoft.com
2007-05-06 12:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DRM
2007-04-25 10:20 <DIR> d--hs---- C:\FOUND.010
2007-04-23 17:16 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-23 17:16 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-21 19:48 <DIR> d-------- C:\Programme\DragonrajaSCREENS


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-18 11:01:24 243,788 ---ha-w C:\WINDOWS\system32\MSVRCTDR.dll
2007-05-18 09:50:10 98,304 ---ha-w C:\WINDOWS\system32\MSVRCTD.DLL
2007-05-17 17:17:46 99,712 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-17 17:17:46 474,282 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-16 21:04:46 1,385,744 ----a-w C:\WINDOWS\system32\msvbvm60.dll
2007-05-16 12:49:50 20 ----a-w C:\sccfg.sys
2007-05-16 12:40:18 3,025 ----a-w C:\WINDOWS\mozver.dat
2007-04-13 18:04:20 -------- d-----w C:\Programme\Gemeinsame Dateien\Insight Software Solutions
2007-04-13 18:04:18 -------- d-----w C:\Programme\Macro Express3
2007-04-11 16:25:04 -------- d-----w C:\Programme\Tasker
2007-04-04 11:32:20 -------- d-----w C:\Programme\Net Tools
2007-03-17 13:44:26 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-15 11:01:34 -------- d-----w C:\Programme\QMacro
2007-03-15 11:00:14 -------- d-----w C:\Programme\SpeederXP
2007-03-09 15:27:06 -------- d-----w C:\DOKUME~1\Kunde\ANWEND~1\HP
2007-03-09 15:26:08 -------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-03-09 15:24:18 -------- d-----w C:\Programme\HP
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-03-02 19:53:48 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll
2007-03-02 19:48:24 48,640 ----a-w C:\WINDOWS\system32\Suchspur.dll
2007-03-01 13:28:32 216,064 ----a-w C:\WINDOWS\iun3405.exe
2007-02-14 09:43:42 25,130 ----a-w C:\WINDOWS\system32\winupsvc.exe
2007-02-14 09:43:40 25,130 ----a-w C:\WINDOWS\system32\winsvcup.exe
2007-02-11 17:49:20 737,280 ----a-w C:\WINDOWS\iun6002.exe
2007-02-05 20:18:44 185,856 ----a-w C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 17:16]
"Windows Firewall"="C:\WINDOWS\System32\drivers\svchost.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]
"Windows Firewall"="C:\WINDOWS\System32\drivers\svchost.exe" []
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efecc]
wlnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpp]
wlnotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuns32]
winuns32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0
Security Packages kerberos msv1_0 schannel wdigest
Notification Packages scecli
[color=red]SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.[/color]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HTTPFilter HTTPFilter
LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV
NetworkService DnsCache
DcomLaunch DcomLaunch TermService
rpcss RpcSs
imgsvc StiSvc
termsvcs TermService

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At12.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-18 13:32:42
Windows 5.1.2600 Service Pack 2 FAT

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows Firewall = C:\WINDOWS\System32\drivers\svchost.exe?

scanning hidden files ...

scan completed successfully
hidden files: 0


********************************************************************

Completion time: 2007-05-18 13:35:38 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-18 13:35


--- E O F ---