Drive Cleaner Problem. Logs inside. |
||
---|---|---|
#0
| ||
24.05.2007, 15:20
...neu hier
Beiträge: 3 |
||
|
||
24.05.2007, 16:33
Moderator
Beiträge: 7805 |
#2
Pruefe bitte4 ides Datei C:\WINDOWS\system32\ierusl.dll bei Jotti, oder VT.
Mache noch einen Kontrollscan mit drweb Cureit: http://freedrweb.com/?lng=de sowie Ewido Micro: http://downloads.ewido.net/ewido_micro.exe Sollten diese etwas finden, melde dich, wo sie das tun __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.05.2007, 17:26
...neu hier
Themenstarter Beiträge: 3 |
#3
Ewido hat etwas gefunden, aber ich habe es erstmal nicht bereinigt.
also Jotti hat dies ausgespuckt: Scanner results Scan taken on 24 May 2007 14:37:31 (GMT) A-Squared Found nothing AntiVir Found TR/PCK.Klone.K.21 ArcaVir Found Trojan.Packed.Klone.K Avast Found nothing AVG Antivirus Found Generic4.GDP BitDefender Found Trojan.Downloader.ConHook.AJ ClamAV Found Trojan.BHO-53 Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found Packed.Win32.Klone.k Fortinet Found W32/Klone.K!tr Kaspersky Anti-Virus Found Packed.Win32.Klone.k NOD32 Found nothing Norman Virus Control Found W32/Suspicious_U.gen Panda Antivirus Found Trj/Conhook.BV Rising Antivirus Found nothing VirusBuster Found Packed/Upack VBA32 Found nothing drweb konnte ich nicht downloaden. ewido liefiert dies: __________________________________________________ ewido anti-spyware online scanner http://www.ewido.net __________________________________________________ Name: Adware.Generic Path: HKLM\SOFTWARE\Classes\Interface\{00000000-0000-0000-0000-000000000010} Risk: Medium Name: Hijacker.Agent.jh Path: [2476] C:\WINDOWS\System32\igfxtray.exe Risk: High Name: TrackingCookie.Yieldmanager Path: C:\Dokumente und Einstellungen\e52373\Lokale Einstellungen\Temp\Cookies\e52373@ad.yieldmanager[2].txt Risk: Medium Name: TrackingCookie.Cpvfeed Path: C:\Dokumente und Einstellungen\e52373\Lokale Einstellungen\Temp\Cookies\e52373@cpvfeed[2].txt Risk: Medium Name: TrackingCookie.Mediaplex Path: C:\Dokumente und Einstellungen\e52373\Lokale Einstellungen\Temp\Cookies\e52373@mediaplex[1].txt Risk: Medium Name: TrackingCookie.Reliablestats Path: C:\Dokumente und Einstellungen\e52373\Lokale Einstellungen\Temp\Cookies\e52373@stats1.reliablestats[2].txt Risk: Medium Name: TrackingCookie.Zedo Path: C:\Dokumente und Einstellungen\e52373\Lokale Einstellungen\Temp\Cookies\e52373@zedo[1].txt Risk: Medium Name: Not-A-Virus.Downloader.Win32.WinFixer.o Path: C:\Dokumente und Einstellungen\e52373\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\W3SX4T6N\WinAntiVirusPro2007FreeInstall[1].cab/UWA7P_0001_N91M0809NetInstaller.exe Risk: Low Name: Hijacker.Agent.jh Path: C:\Programme\CA\eTrust Antivirus\realmon.exe Risk: High Name: Hijacker.Agent.jh Path: C:\Programme\RealVNC4\winvnc4.exe Risk: High Name: Hijacker.Agent.jh Path: C:\Programme\Synaptics\SynTP\SynTPEnh.exe Risk: High Name: Hijacker.Agent.jh Path: C:\Programme\Utimaco\SafeGuard Easy\Ecview.exe Risk: High Name: Hijacker.Agent.jh Path: C:\Programme\Utimaco\SafeGuard Easy\EdWizard.exe Risk: High Name: Hijacker.Agent.jh Path: C:\QooBox\Quarantine\C\WINDOWS\system32\lsasss.exe.vir Risk: High Name: Hijacker.Agent.jh Path: C:\System Volume Information\_restore{E91AC31E-F8B5-4EFC-B1C7-3F596A4527B9}\RP65\A0019082.exe Risk: High Name: Hijacker.Agent.jh Path: C:\System Volume Information\_restore{E91AC31E-F8B5-4EFC-B1C7-3F596A4527B9}\RP93\A0025060.exe Risk: High Name: Hijacker.Agent.jh Path: C:\WINDOWS\system32\hkcmd.exe Risk: High Name: Trojan.Klone.k Path: C:\WINDOWS\system32\ierusl.dll Risk: High Name: Hijacker.Agent.jh Path: C:\WINDOWS\system32\igfxpers.exe Risk: High Name: Hijacker.Agent.jh Path: C:\WINDOWS\system32\igfxtray.exe Risk: High |
|
|
||
24.05.2007, 17:36
Moderator
Beiträge: 7805 |
#4
Da hat ein Hijacker deine "Normalen" Dateien durch sich selber erssetzt! Normalerweise befinden sich bei einigen Varianten die Orginaldateien noch umbenannt im selben Ordner. Du wirst die als Malware identifizierten Dateien auf jeden Fall loeschen, bzw umbenennen muessen. Es waere hilfreich, wenn du eine der Dateien z.B. C:\WINDOWS\system32\hkcmd.exe auch bei Jotti/VT testen koenntest, so daas die AV Firmen die Moeglichkeit haben, an die Datei heranzukommen...
Was, bzw Du wir machen muessen muessen wir sehen, je nachdem wie dein System nach dem Loeschen der Malware verhaelt.... Ewido Micro sollte die Dateien loesdchen koennen, oder wir suchen uns ein anderes Programm, welches Laut dem Onlinescanner die Malware ebenfalls findet. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.05.2007, 17:53
...neu hier
Themenstarter Beiträge: 3 |
#5
Also ich habe die Dateien auf meinem Rechner mit Dateien auf einem anderen Rechner verglichen.
Die Größe und die Version unter Eigentschaften haben nicht überein gestimmt. Die Dateien auf meinem Rechner waren alle 37 KB gross und hatten keine Signatur. Ich lasse jetzt nochmal ewido laufen und werde die Dateien bei mir removen. (hatte ewido leider ausgemacht nach dem Scan und muss ihn jetzt nochmal durchlaufen lassen) Ist es Ok, wenn ich mir die Dateien dann von einem anderen Rechner rüberkopiere oder führt das zu Problemen? Ps: ich lasse die Dateien noch von Jotti überprüfen, damit die Dateien aufgenommen werden können... |
|
|
||
24.05.2007, 17:58
Moderator
Beiträge: 7805 |
#6
Sofern die Versionen der einzelnen Programme gleich sind, sollte es kein Problem sein. Ansonsten musst du dir eine neue Version von den Servern der einzelnen Hersteller holen und installieren.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
ich habe mir auch den Drive Cleaner eingefangen.
Ich habe mir die anderen Threads schon durchgelesen und bin die
drei Schritte durchgegangen.
Hier die Logs:
Logfile of HijackThis v1.99.1
Scan saved at 14:53:04, on 24.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\IBM\SQLLIB\BIN\db2jds.exe
C:\Programme\IBM\SQLLIB\BIN\db2sec.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
C:\WINDOWS\System32\SgLogPlayer.exe
C:\WINDOWS\system32\CCM\CLICOMP\RemCtrl\Wuser32.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Opera\Opera.exe
C:\PROGRAMME\CIVIEWER\CIVIEWER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\regedit.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
H:\scan\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.ads.vhv.de/web/index.jsp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.ads.vhv.de/web/index.jsp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von VHV
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.intern.vhv.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;*.ads.vhv.de;*.intern.vhv.de;mswmgmt.vhv.de;194.31.225.*;*.gdv.org;172.16.*;172.20.100.*;213.68.205.211;10.*;kobra-e;kobra-t;kobra-s;kobra;130.*;*.session.rservices.com;www.hannoversche-leben.de;antrag.hannoversche-leben.de;83.136.133.15;*partnerportal.interhyp.de;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BHOManager Class - {474264BC-9571-47C1-85B9-780F756DC9CE} - C:\WINDOWS\system32\BHOManager.dll
O2 - BHO: (no name) - {8d4dcc50-c431-432c-9296-43284b3a0390} - C:\WINDOWS\system32\ierusl.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [SgeEcView] C:\Programme\Utimaco\SafeGuard Easy\Ecview.exe
O4 - HKLM\..\Run: [EdWizard] C:\Programme\Utimaco\SafeGuard Easy\EdWizard.exe as
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC4\winvnc4.exe" -servicehelper
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [TestDirector] TestDirector IE Settings
O14 - IERESET.INF: START_PAGE_URL=http://intranet.ads.vhv.de/web/index.jsp
O16 - DPF: {205E7068-6D03-4566-AD06-A146B592FBA5} (Loader Class v2) - http://mercsrv1/TDBIN/Spider80.ocx
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.0.cab
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/de/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {98C53984-8BF8-4D11-9B1C-C324FCA9CADE} (Loader Class v3) - http://mercsrvp:8080/qcbin/Spider90.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ads.vhv.de
O17 - HKLM\Software\..\Telephony: DomainName = ads.vhv.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ads.vhv.de
O18 - Protocol: HTLFP - {03B7A5D4-96B0-4316-95F8-072D326A58F1} - ielpview.dll (file missing)
O18 - Protocol: vfsp - {E4CB5121-E242-11D4-8ED6-00010219EB22} - VFSProtocol.dll (file missing)
O20 - AppInit_DLLs:
O20 - Winlogon Notify: ierusl - C:\WINDOWS\SYSTEM32\ierusl.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NotLog - C:\WINDOWS\SYSTEM32\SGLogEx.dll
O20 - Winlogon Notify: SGASNotify - C:\WINDOWS\SYSTEM32\SGASNotify.dll
O20 - Winlogon Notify: SGLogNotification - C:\WINDOWS\SYSTEM32\SGLogNotification.dll
O23 - Service: DB2 JDBC Applet Server (DB2JDS) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2jds.exe
O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - C:\Programme\IBM\SQLLIB\BIN\db2sec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: IBM Rational ClearQuest Mail Service (MailService) - IBM Corporation - C:\Programme\Rational\ClearQuest\mailservice.exe
O23 - Service: SafeGuard Easy Control (SgeCtl) - Utimaco Safeware AG - C:\Programme\Utimaco\SafeGuard Easy\SgeCtl.exe
O23 - Service: SafeGuard SGLOG Player (SgLogPlayer) - Utimaco Safeware AG - C:\WINDOWS\System32\SgLogPlayer.exe
O23 - Service: TestDirector ReqSync Service (TDRPSyncSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Mercury Interactive\TDReqSync\TDRPSyncService.exe
O23 - Service: VNC (WinVNC) - Unknown owner - C:\Programme\RealVNC4\winvnc4.exe" -service (file missing)
"e52373" - 2007-05-24 15:05:59 Service Pack 2
ComboFix 07-05.24.4.V - Running from: "H:\scan\"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
"C:\WINDOWS\DOWNLO~1.\Quarantine\ppqdb.dat"
"C:\WINDOWS\DOWNLO~1.\Quarantine\ppqsdb.dat"
"C:\WINDOWS\system32\lsasss.exe"
"C:\WINDOWS\DOWNLO~1.\Quarantine"
((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-24 ))))))))))))))))))))))))))))))))))
2007-05-24 14:11 <DIR> d-------- C:\WINDOWS\Quarantine
2007-05-24 13:16 <DIR> d-------- C:\TD_80
2007-05-02 14:26 <DIR> d-------- C:\DOKUME~1\e52373\ANWEND~1\Opera
2007-05-02 14:25 <DIR> d-------- C:\Programme\Opera
2007-05-02 11:52 <DIR> dr------- C:\DOKUME~1\e52373\Eigene Dateien
2007-05-02 11:51 2,097,152 --ah----- C:\DOKUME~1\e52373\NTUSER.DAT
2007-05-02 11:51 <DIR> dr-h----- C:\DOKUME~1\e52373\Anwendungsdaten
2007-05-02 11:51 <DIR> dr------- C:\DOKUME~1\e52373\Startmen�
2007-05-02 11:51 <DIR> dr------- C:\DOKUME~1\e52373\Favoriten
2007-05-02 11:51 <DIR> d--h----- C:\DOKUME~1\e52373\Vorlagen
2007-05-02 11:51 <DIR> d--h----- C:\DOKUME~1\e52373\Netzwerkumgebung
2007-05-02 11:51 <DIR> d--h----- C:\DOKUME~1\e52373\Lokale Einstellungen
2007-05-02 11:51 <DIR> d--h----- C:\DOKUME~1\e52373\Druckumgebung
2007-04-26 10:14 20,891 --a------ C:\WINDOWS\system32\ierusl.dll
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-05-24 13:04:27 -------- d-----w C:\Programme\CIViewer
2007-05-15 09:02:44 341 ----a-w C:\WINDOWS\system32\sshvsx5.dll
2007-05-15 09:02:44 101 ----a-w C:\WINDOWS\system32\prsgrc.dll
2007-04-18 09:17:37 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-18 09:17:37 -------- d-----w C:\Programme\Gemeinsame Dateien\Mercury Interactive
2007-04-11 11:38:25 -------- d-----w C:\Programme\WebEx
2007-04-10 13:06:50 -------- d-----w C:\Programme\RealVNC4
2007-04-10 13:05:40 37,723 ----a-w C:\WINDOWS\system32\igfxtray.exe
2007-04-10 13:05:40 37,723 ----a-w C:\WINDOWS\system32\igfxpers.exe
2007-04-10 13:05:40 37,723 ----a-w C:\WINDOWS\system32\hkcmd.exe
2007-03-27 09:58:13 -------- d-----w C:\Programme\Mercury Interactive
2007-03-26 14:56:25 -------- d-----w C:\Programme\Gemeinsame Dateien\Bcgsoft
2007-03-26 14:47:59 1,025 ----a-w C:\WINDOWS\system32\oo2iey1.dll
2007-03-26 14:47:58 1,024 ----a-w C:\WINDOWS\system32\grcauth2.dll
2007-03-26 14:47:58 1,024 ----a-w C:\WINDOWS\system32\grcauth1.dll
2007-03-26 14:41:54 -------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-03-26 14:40:29 -------- d-----w C:\Programme\Microsoft Script Debugger
2007-03-26 14:38:12 72,172 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-03-26 14:38:12 408,034 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-02-14 16:25:30 186,443 ----a-w C:\WINDOWS\system32\atasnt40.dll
2007-02-11 21:19:42 46,080 ----a-w C:\WINDOWS\system32\ShellHook.dll
2007-02-11 21:19:42 20,992 ----a-w C:\WINDOWS\system32\WIAgentLogFileU.dll
2007-02-11 21:19:42 112,264 ----a-w C:\WINDOWS\system32\BHOManager.dll
2007-02-11 21:19:12 11,107 ----a-w C:\WINDOWS\system32\pal_drv.sys
2007-02-11 21:18:52 499,712 ----a-w C:\msvcp71.dll
2007-02-11 21:18:52 1,060,864 ----a-w C:\mfc71.dll
2007-02-11 21:18:52 1,047,552 ----a-w C:\mfc71u.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll [2003-11-03 15:17]
{474264BC-9571-47C1-85B9-780F756DC9CE}=C:\WINDOWS\system32\BHOManager.dll [2007-02-11 23:19]
{8d4dcc50-c431-432c-9296-43284b3a0390}=C:\WINDOWS\system32\ierusl.dll [2007-04-26 10:14]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\System32\igfxtray.exe" [2007-04-10 15:05]
"igfxhkcmd"="C:\WINDOWS\System32\hkcmd.exe" [2007-04-10 15:05]
"igfxpers"="C:\WINDOWS\System32\igfxpers.exe" [2007-04-10 15:05]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2007-04-10 15:05]
"RTHDCPL"="RTHDCPL.EXE" []
"Alcmtr"="ALCMTR.EXE" []
"AGRSMMSG"="AGRSMMSG.exe" []
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [2007-04-10 15:05]
"@"="" []
"SgeEcView"="C:\Programme\Utimaco\SafeGuard Easy\Ecview.exe" [2007-04-10 15:05]
"EdWizard"="C:\Programme\Utimaco\SafeGuard Easy\EdWizard.exe" [2007-04-10 15:05]
"WinVNC"="C:\Programme\RealVNC4\winvnc4.exe" [2007-04-10 15:05]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"RunLogonScriptSync"=1 (0x1)
"SetVisualStyle"=
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoMSAppLogo5ChannelNotify"=1 (0x1)
"NoToolbarCustomize"=0 (0x0)
"NoBandCustomize"=0 (0x0)
"EnableShellExecuteHooks"=1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"Btn_Back"=0 (0x0)
"Btn_Forward"=0 (0x0)
"Btn_Stop"=0 (0x0)
"Btn_Refresh"=0 (0x0)
"Btn_Home"=0 (0x0)
"Btn_Search"=0 (0x0)
"Btn_History"=0 (0x0)
"Btn_Favorites"=0 (0x0)
"Btn_Media"=0 (0x0)
"Btn_Folders"=0 (0x0)
"Btn_Fullscreen"=0 (0x0)
"Btn_Tools"=0 (0x0)
"Btn_MailNews"=0 (0x0)
"Btn_Size"=0 (0x0)
"Btn_Print"=0 (0x0)
"Btn_Edit"=0 (0x0)
"Btn_Discussions"=0 (0x0)
"Btn_Cut"=0 (0x0)
"Btn_Copy"=0 (0x0)
"Btn_Paste"=0 (0x0)
"Btn_Encoding"=0 (0x0)
"Btn_PrintPreview"=0 (0x0)
"NoActiveDesktopChanges"=0 (0x0)
"NoFavoritesMenu"=0 (0x0)
"NoSetActiveDesktop"=0 (0x0)
"NoChangeStartMenu"=0 (0x0)
"NoRecentDocsMenu"=0 (0x0)
"NoRecentDocsHistory"=0 (0x0)
"ClearRecentDocsOnExit"=0 (0x0)
"NoLogoff"=0 (0x0)
"NoClose"=0 (0x0)
"NoSetFolders"=0 (0x0)
"NoTrayContextMenu"=0 (0x0)
"NoDeletePrinter"=0 (0x0)
"NoAddPrinter"=0 (0x0)
"NoPrinterTabs"=0 (0x0)
"LinkResolveIgnoreLinkInfo"=1 (0x1)
"NoWindowsUpdate"=1 (0x1)
"NoSetTaskbar"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"NoAutoTrayNotify"=1 (0x1)
"NoSimpleStartMenu"=1 (0x1)
"NoSMBalloonTip"=1 (0x1)
"NoStartMenuPinnedList"=1 (0x1)
"NoDesktopCleanupWizard"=1 (0x1)
"ForceClassicControlPanel"=1 (0x1)
"NoThemesTab"=1 (0x1)
"NoAutoUpdate"=1 (0x1)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A5949E07-8536-4625-A3D0-2DD83F559990}"="C:\WINDOWS\system32\ShellHook.dll" [2007-02-11 23:19]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ierusl]
ierusl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\NotLog]
SGLogEx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SGASNotify]
SGASNotify.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SGLogNotification]
SGLogNotification.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\0\0]
"Script"=VHVPreferences.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1866618629-1701970629-965413785-25334\Scripts\Logon\0\0]
"Script"=VHVPreferences.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1866618629-1701970629-965413785-33375\Scripts\Logon\0\0]
"Script"=VHVPreferences.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1866618629-1701970629-965413785-38621\Scripts\Logon\0\0]
"Script"=VHVPreferences.vbs
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1866618629-1701970629-965413785-5814\Scripts\Logon\0\0]
"Script"=VHVPreferences.vbs
*Newly Created Service* -PROCEXP90
********************************************************************
catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-24 15:06:58
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
********************************************************************
Completion time: 2007-05-24 15:07:16
C:\ComboFix-quarantined-files.txt ... 2007-05-24 15:07
--- E O F ---