Tr/spy.vbstat.b und Vundo + einen Agent |
||
---|---|---|
#0
| ||
18.05.2007, 11:23
...neu hier
Beiträge: 4 |
||
|
||
18.05.2007, 12:14
Member
Beiträge: 519 |
||
|
||
18.05.2007, 12:19
Moderator
Beiträge: 7805 |
#3
In deinem Fall mache die Arbeiten, die in dem Thread aufgelistet sind bitte im abgesicherten Modus, sonst funkt der Teatimer gewaltig dazwischen!
Der Teatimer ist zwar ein gutes Produkt, wenn es um Malwareabwher geht, aber ist das System einmal verseucht, stoert er ein wenig! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.05.2007, 12:49
...neu hier
Themenstarter Beiträge: 4 |
#4
das problem ist. ich kann NICHT in dem abgesicherten modus aufstarten. wenn ich F8 taste durecke kommt die auswahl, ich geh auf abgesicherter modus, der PC rebootet die auswahl kommt gleich wieder ich geh wieder auf abgesicherter modus, es rebootet wieder und kommt wieder das abgesicherter modus zeugs....................................... -_- da hilft wohl nur neu aufsetzten oder?
|
|
|
||
18.05.2007, 12:51
Member
Beiträge: 519 |
#5
wenn du nichtmal in den abgesicherten Modus kommst ist dasd schon irgendwie bitter.
|
|
|
||
18.05.2007, 12:53
Moderator
Beiträge: 7805 |
#6
Hm, dann nutze die Dinge im Normalen Modus, aber deaktiviere den Teatimer vorher. Starte combofix mit der Option /WOW
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.05.2007, 13:44
...neu hier
Themenstarter Beiträge: 4 |
#7
System 32.txt
Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\system32 18.05.2007 13:33 1'158 wpa.dbl 18.05.2007 13:01 243'788 MSVRCTDR.dll 18.05.2007 11:50 98'304 MSVRCTD.DLL 17.05.2007 19:17 99'712 perfc007.dat 17.05.2007 19:17 449'250 perfh009.dat 17.05.2007 19:17 474'282 perfh007.dat 17.05.2007 19:17 80'794 perfc009.dat 17.05.2007 19:17 972'702 PerfStringBackup.INI 17.05.2007 13:01 181'832 FNTCACHE.DAT 17.05.2007 10:38 122'142 TZLog.log 16.05.2007 23:04 1'385'744 msvbvm60.dll 16.05.2007 14:40 4'196 jupdate-1.6.0_01-b06.log 16.05.2007 12:21 1'725'588 tcuchwyd.ini 15.05.2007 22:11 0 mcrh.tmp 14.05.2007 17:46 34'308 BASSMOD.dll 08.05.2007 19:17 37'473 muzika.xm 06.05.2007 18:04 22'528 winuns32.dll 27.04.2007 13:45 14'970'328 MRT.exe 03.04.2007 16:28 383'488 ieapfltr.dll 03.04.2007 06:36 2'453'952 ieapfltr.dat 02.04.2007 14:21 428'032 swreg.exe 17.03.2007 15:44 293'376 winsrv.dll 15.03.2007 18:19 1'476'992 LegitCheckControl.dll 15.03.2007 18:17 337'280 WgaTray.exe 15.03.2007 18:16 236'928 WgaLogon.dll 09.03.2007 13:51 270'336 xpsp3res.dll 08.03.2007 17:36 40'960 mf3216.dll 08.03.2007 17:36 579'072 user32.dll 08.03.2007 17:36 281'600 gdi32.dll 08.03.2007 17:32 1'843'712 win32k.sys 07.03.2007 19:40 1'150'464 urlmon.dll 07.03.2007 19:40 232'960 webcheck.dll 07.03.2007 19:40 822'784 wininet.dll 07.03.2007 19:40 105'984 url.dll 07.03.2007 19:40 193'024 msrating.dll 07.03.2007 19:40 670'720 mstime.dll 07.03.2007 19:40 102'400 occache.dll 07.03.2007 19:40 477'696 mshtmled.dll 07.03.2007 19:40 3'581'952 mshtml.dll 07.03.2007 19:40 44'544 iernonce.dll 07.03.2007 19:40 51'712 msfeedsbs.dll 07.03.2007 19:40 6'054'400 ieframe.dll 07.03.2007 19:40 458'752 msfeeds.dll 07.03.2007 19:40 266'752 iertutil.dll 07.03.2007 19:40 27'136 jsproxy.dll 07.03.2007 19:40 1'823'744 inetcpl.cpl 07.03.2007 19:40 384'000 iedkcs32.dll 07.03.2007 19:40 230'400 ieaksie.dll 07.03.2007 19:40 153'088 ieakeng.dll 07.03.2007 19:40 124'928 advpack.dll 07.03.2007 19:40 132'608 extmgr.dll 07.03.2007 10:27 56'832 ie4uinit.exe 02.03.2007 21:48 48'640 Suchspur.dll 28.02.2007 18:02 2'138'624 ntoskrnl.exe 28.02.2007 18:02 2'018'304 ntkrnlpa.exe 27.02.2007 10:20 13'824 ieudinit.exe 21.02.2007 10:00 161'792 ieakui.dll 14.02.2007 11:43 25'130 winupsvc.exe 14.02.2007 11:43 25'130 winsvcup.exe 05.02.2007 22:18 185'856 upnphost.dll 31.01.2007 08:47 1'040'384 ieframe.dll.mui 29.01.2007 09:58 60'416 tzchange.exe 23.01.2007 20:30 546'304 hhctrl.ocx systemtemp.txt Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\DOKUME~1\Kunde\LOKALE~1\Temp 18.05.2007 13:37 289 datFind.zip 1 Datei(en) 289 Bytes 0 Verzeichnis(se), 126'059'118'592 Bytes frei system.txt Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS 18.05.2007 13:33 79'989 setupapi.log 18.05.2007 13:32 0 0.log 18.05.2007 13:32 2'048 bootstat.dat 18.05.2007 13:25 1'512'086 WindowsUpdate.log 18.05.2007 12:32 322 Kopie (5) von wpe_0delay.INI 18.05.2007 12:08 323 wpe_0delay.INI 18.05.2007 11:28 159 wiadebug.log 17.05.2007 17:26 323 Kopie von wpe_0delay.INI 17.05.2007 16:17 75'414 wmsetup.log 17.05.2007 16:11 379 wmsetup10.log 17.05.2007 14:28 323 Kopie von Kopie von wpe_0delay.INI 17.05.2007 13:00 32'564 SchedLgU.Txt 17.05.2007 10:39 344'193 ocgen.log 17.05.2007 10:39 31'438 KB927779.log 17.05.2007 10:39 114'681 iis6.log 17.05.2007 10:39 39'189 ocmsn.log 17.05.2007 10:39 35'788 msgsocm.log 17.05.2007 10:39 276'671 tsoc.log 17.05.2007 10:39 148'072 ntdtcsetup.log 17.05.2007 10:39 247'604 comsetup.log 17.05.2007 10:39 728'618 FaxSetup.log 17.05.2007 10:39 1'374 imsins.log 17.05.2007 10:39 76'649 updspapi.log 17.05.2007 10:38 27'997 KB927802.log 17.05.2007 10:38 1'374 imsins.BAK 17.05.2007 10:38 28'505 KB928255.log 17.05.2007 10:38 25'854 KB931784.log 17.05.2007 10:38 25'109 KB924667.log 17.05.2007 10:38 23'981 KB931261.log 17.05.2007 10:38 37'745 KB931836.log 17.05.2007 10:38 20'924 WgaNotify.log 17.05.2007 10:36 24'580 KB925902.log 17.05.2007 10:36 22'649 KB931768-IE7.log 17.05.2007 10:35 19'485 KB926436.log 17.05.2007 10:35 16'098 KB930178.log 17.05.2007 10:35 20'143 KB932168.log 17.05.2007 10:35 17'154 KB918118.log 17.05.2007 10:35 18'937 KB929969.log 17.05.2007 10:35 13'696 KB930916.log 17.05.2007 10:35 16'192 KB928843.log 16.05.2007 16:38 8'004 spupdsvc.log 16.05.2007 16:37 23'960 ie7_main.log 16.05.2007 16:23 60'704 ie7.log 16.05.2007 16:22 11'684 IDNMitigationAPIs.log 16.05.2007 16:22 10'050 NLSDownlevelMapping.log 16.05.2007 16:21 7'004 KB915865.log 16.05.2007 16:20 6'217 KB914440.log 16.05.2007 14:56 1'255'552 setupapi.log.0.old 16.05.2007 14:41 548 KB893803v2Uninst.log 16.05.2007 14:40 3'025 mozver.dat 13.05.2007 09:10 321 Kopie (4) von wpe_0delay.INI 13.05.2007 00:00 50 wiaservc.log 11.05.2007 21:10 322 Kopie (3) von wpe_0delay.INI 11.05.2007 19:41 322 Kopie (2) von wpe_0delay.INI 06.05.2007 12:32 116 NeroDigital.ini 28.04.2007 09:20 321 Kopie von PSniff.INI 25.04.2007 10:44 1'733 Firefoxl.INI 25.04.2007 10:44 1'733 gambel.INI 25.04.2007 10:36 1'733 E-Search.INI 25.04.2007 10:36 1'731 xDD.INI 21.04.2007 03:52 86'528 catchme.exe 18.04.2007 23:14 334 PSniff.INI 17.04.2007 09:43 3'244 OEWABLog.txt 14.04.2007 10:28 400 ODBC.INI 16.03.2007 17:42 6'078 DPINST.LOG 15.03.2007 13:03 60'416 ALCFDRTM.VER 14.03.2007 11:31 231 system.ini 09.03.2007 18:22 324 WPE_PRO.INI 02.03.2007 23:09 139'590 ktd32.atm 02.03.2007 22:59 49'277 Load.zip 02.03.2007 21:53 98'304 system32CmdLineExt.dll 01.03.2007 15:28 614 win.ini 01.03.2007 15:28 216'064 iun3405.exe 27.02.2007 16:40 20'312 DirectX.log 24.02.2007 09:06 2'057 my.ini 23.02.2007 22:34 356 aspack.ini 18.02.2007 10:12 13'399 KB928090.log 11.02.2007 19:49 737'280 iun6002.exe 04.02.2007 18:09 626'688 Garfield 25th Anniversary.scr 04.02.2007 18:08 12'288 impborl.dll 19.01.2007 18:32 194'560 Garfields 9 Lives.scr 19.01.2007 18:32 606'848 flashax.exe 19.01.2007 18:27 194'560 Garfield Guide to Cats.scr 13.01.2007 12:45 335 mozregistry.dat tmp.txt Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\temp 18.05.2007 13:36 0 winC.tmp 18.05.2007 13:36 55 winB.tmp 18.05.2007 13:32 0 JETA817.tmp 3 Datei(en) 55 Bytes 0 Verzeichnis(se), 126'059'053'056 Bytes frei down.txt Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\WINDOWS\Downloaded Program Files 09.11.2006 14:36 5'019 swflash.inf 26.05.2005 04:19 291 wuweb.inf 26.01.2005 12:29 65 desktop.ini 3 Datei(en) 5'375 Bytes 0 Verzeichnis(se), 126'059'020'288 Bytes frei sys.txt Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 320D-180E Verzeichnis von C:\ 18.05.2007 13:39 384 down.txt 18.05.2007 13:39 0 sys.txt 18.05.2007 13:39 360 tmp.txt 18.05.2007 13:39 13'352 system.txt 18.05.2007 13:38 284 systemtemp.txt 18.05.2007 13:37 107'062 system32.txt 18.05.2007 13:35 2'109 ComboFix-quarantined-files.txt 18.05.2007 13:35 8'229 ComboFix.txt 18.05.2007 13:32 1'072'222'208 hiberfil.sys 18.05.2007 13:32 1'610'612'736 pagefile.sys 18.05.2007 13:29 64 Kopie von ComboFix.txt 18.05.2007 13:01 9 dxsize.txt 18.05.2007 10:54 12'533 VundoFix.txt 16.05.2007 14:49 20 sccfg.sys 16.05.2007 14:49 988 hook.log 06.05.2007 15:02 130 2007-5-6 CustomerDebug.Log 02.03.2007 22:59 49'277 Load.zip 28.02.2007 14:02 875 list 18.01.2007 11:54 899 Verknpfung mit easyphp.exe.lnk Diese 6 dateien wurden der reihenfolge gepostet. falls die namen nicht stimmen kurz nahc der reihenfolge schauen. (Datfindbat) so und hier kommt nun Combofix.txt "Kunde" - 2007-05-18 13:29:45 Service Pack 2 ComboFix 07-05.17.6.V - Running from: "C:\Programme\Mozilla Firefox\" (((((((((((((((((((((((((((((((((((((((((((((((((( V Log ))))))))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\vturp.dll C:\WINDOWS\system32\qstwa.ini C:\WINDOWS\system32\qstwa.bak1 C:\WINDOWS\system32\qstwa.bak2 C:\WINDOWS\system32\qstwa.ini2 C:\WINDOWS\system32\awtsq.dll C:\WINDOWS\system32\efcdefg.dll * * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Programme\Gemeinsame Dateien\Yazzle1583OinUninstaller.exe C:\windows\system32\system.dll C:\Programme\Gemeinsame Dateien\{320D1~1 ((((((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_COM+_MESSAGES -------\LEGACY_NM -------\nm ((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-18 )))))))))))))))))))))))))))))))))) 2007-05-17 19:12 <DIR> d-------- C:\Programme\Microsoft SQL Server 2007-05-17 19:04 <DIR> d-------- C:\Programme\Microsoft Visual Studio 8 2007-05-17 19:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Merge Modules 2007-05-17 19:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help 2007-05-17 15:37 <DIR> d-------- C:\DOKUME~1\Kaishyn\ANWEND~1\ESTsoft 2007-05-17 11:12 <DIR> d-------- C:\DOKUME~1\Kaikou\ANWEND~1\teamspeak2 2007-05-17 09:37 <DIR> d-------- C:\Programme\RegistryFix 2007-05-16 23:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2007-05-16 22:31 <DIR> d-------- C:\Programme\Dragonraja 2007-05-16 21:29 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy 2007-05-16 20:50 <DIR> d-------- C:\DOKUME~1\Kunde\ANWEND~1\Lavasoft 2007-05-16 20:49 <DIR> d-------- C:\Programme\Lavasoft 2007-05-16 19:12 <DIR> d--hs---- C:\FOUND.011 2007-05-16 16:23 <DIR> d-------- C:\WINDOWS\system32\de-de 2007-05-16 16:20 <DIR> d-------- C:\WINDOWS\network diagnostic 2007-05-16 13:52 <DIR> d-------- C:\VundoFix Backups 2007-05-16 12:35 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan 2007-05-16 11:16 <DIR> d-------- C:\test 2007-05-06 18:05 22,528 --a------ C:\WINDOWS\system32\winuns32.dll 2007-05-06 17:10 50,688 --------- C:\WINDOWS\system32\speederDll.dll 2007-05-06 17:10 1,422,336 --a------ C:\WINDOWS\system32\qtintf70.dll 2007-05-06 17:10 <DIR> d-------- C:\Programme\berylsoft.com 2007-05-06 12:40 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\DRM 2007-04-25 10:20 <DIR> d--hs---- C:\FOUND.010 2007-04-23 17:16 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys 2007-04-23 17:16 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys 2007-04-21 19:48 <DIR> d-------- C:\Programme\DragonrajaSCREENS (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-18 11:01:24 243,788 ---ha-w C:\WINDOWS\system32\MSVRCTDR.dll 2007-05-18 09:50:10 98,304 ---ha-w C:\WINDOWS\system32\MSVRCTD.DLL 2007-05-17 17:17:46 99,712 ----a-w C:\WINDOWS\system32\perfc007.dat 2007-05-17 17:17:46 474,282 ----a-w C:\WINDOWS\system32\perfh007.dat 2007-05-16 21:04:46 1,385,744 ----a-w C:\WINDOWS\system32\msvbvm60.dll 2007-05-16 12:49:50 20 ----a-w C:\sccfg.sys 2007-05-16 12:40:18 3,025 ----a-w C:\WINDOWS\mozver.dat 2007-04-13 18:04:20 -------- d-----w C:\Programme\Gemeinsame Dateien\Insight Software Solutions 2007-04-13 18:04:18 -------- d-----w C:\Programme\Macro Express3 2007-04-11 16:25:04 -------- d-----w C:\Programme\Tasker 2007-04-04 11:32:20 -------- d-----w C:\Programme\Net Tools 2007-03-17 13:44:26 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll 2007-03-15 11:01:34 -------- d-----w C:\Programme\QMacro 2007-03-15 11:00:14 -------- d-----w C:\Programme\SpeederXP 2007-03-09 15:27:06 -------- d-----w C:\DOKUME~1\Kunde\ANWEND~1\HP 2007-03-09 15:26:08 -------- d-----w C:\Programme\Gemeinsame Dateien\HP 2007-03-09 15:24:18 -------- d-----w C:\Programme\HP 2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll 2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll 2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll 2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys 2007-03-02 19:53:48 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll 2007-03-02 19:48:24 48,640 ----a-w C:\WINDOWS\system32\Suchspur.dll 2007-03-01 13:28:32 216,064 ----a-w C:\WINDOWS\iun3405.exe 2007-02-14 09:43:42 25,130 ----a-w C:\WINDOWS\system32\winupsvc.exe 2007-02-14 09:43:40 25,130 ----a-w C:\WINDOWS\system32\winsvcup.exe 2007-02-11 17:49:20 737,280 ----a-w C:\WINDOWS\iun6002.exe 2007-02-05 20:18:44 185,856 ----a-w C:\WINDOWS\system32\upnphost.dll (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2006-01-12 20:38] {53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AspireService"="C:\Programme\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 16:07] "SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-10-15 19:40] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-23 17:16] "Windows Firewall"="C:\WINDOWS\System32\drivers\svchost.exe" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00] "Windows Firewall"="C:\WINDOWS\System32\drivers\svchost.exe" [] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efecc] wlnotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqpp] wlnotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuns32] winuns32.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages msv1_0 Security Packages kerberos msv1_0 schannel wdigest Notification Packages scecli [color=red]SafeBoot registry key needs to be repaired. This machine cannot enter Safe Mode.[/color] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HTTPFilter HTTPFilter LocalService Alerter WebClient LmHosts RemoteRegistry upnphost SSDPSRV NetworkService DnsCache DcomLaunch DcomLaunch TermService rpcss RpcSs imgsvc StiSvc termsvcs TermService HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs* Contents of the 'Scheduled Tasks' folder C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At2.job C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At5.job C:\WINDOWS\tasks\At6.job C:\WINDOWS\tasks\At7.job C:\WINDOWS\tasks\At8.job C:\WINDOWS\tasks\At9.job C:\WINDOWS\tasks\At10.job C:\WINDOWS\tasks\At11.job C:\WINDOWS\tasks\At12.job ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-05-18 13:32:42 Windows 5.1.2600 Service Pack 2 FAT scanning hidden processes ... scanning hidden autostart entries ... HKCU\Software\Microsoft\Windows\CurrentVersion\Run Windows Firewall = C:\WINDOWS\System32\drivers\svchost.exe? scanning hidden files ... scan completed successfully hidden files: 0 ******************************************************************** Completion time: 2007-05-18 13:35:38 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2007-05-18 13:35 --- E O F --- |
|
|
||
Logfile of HijackThis v1.99.1
Scan saved at 11:11:55, on 18.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Acer\Acer eConsole\MediaServerService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Acer\Acer eMode Management\AspireService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ESTsoft\ALZip\ALZip.exe
C:\Dokumente und Einstellungen\Kunde\Desktop\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.metacrawl.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 66.90.73.19:7049
O4 - HKLM\..\Run: [AspireService] C:\Programme\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Firewall] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Firewall] C:\WINDOWS\System32\drivers\svchost.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\system32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163248342690
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acer Media Server - Acer Inc. - C:\Programme\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - c:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
da ich mich damit nicht so gut auskenne wie ihr möchte ich nicht schon einfach wild draufloslöschen. svchost virus habe ich auch (hab ich gesehen bei hijackthis) nun, gestern habe ich schon eines gelöescht das ein virus war. Ich glaube mein PC ist vollkommen virenverseucht. weil ich seit gestern kaum was machen kann. Sobald ich ein spiel aufstarte, kann ich pro anderes programm das ich aufstarte 5 mins warten bis es endlich anklickbar ist (es kommt schon vorher aber "keine Rückmeldung".) System neu aufsetzen oder kriegt man das wieder hin? ich hab keine WinXp CD. und KA wie man ein system aufsetzt (noch nie gemacht).
Edit: ausserdem hab ich mir noch Spybot besorgt der mir änderungen an der registry verhindert. jetzt hab ich einfach die rechte seite meines bilschirmes vollgespammt wen ich den unten anklicke. da ich die zugriffe auf die registry vom virus blocke