*.exe-Dateien koennen nicht mehr gestartet werden!

#0
11.06.2007, 13:01
Member

Beiträge: 328
#1 Hallo!

Vor einer Weile wurde das System meiner Mutter mit einem Virus befallen, der es ziemlich in sich hatte. Den hatte sie eingeschleust als sie sich etwas im RealPlayer anguckte. Symptome waren: Es wurden tausende IE-Fenster mit voreingestellten Websiten geoeffnet, Rechner fuhr immer nach 5 Sekunden bis eine Minute herunter. Auch im Abgesicherten Modus liess sich nicht oeffnen Ausserdem wurden noch viele Prozesse geoeffnet.

Hab dann so gut es ging das weggemacht - Registry sauber gemacht, Hijackthis, Ad-aware, SpyBot, AntiVir.

Ich dachte eigentlich, dass nun alles in Ordnung ist, jedoch besteht jetzt noch ein Problem: Auf einmal lassen sich voll viele Anwendungen nicht mehr starten - und nicht nur das, sogar viele Setup-Dateien lassen sich nicht mehr oeffnen.
Und noch stressiger ist es, wenn man ne Setup-Datei neu herunterlaedt, neu installiert und nach dem naechsten Systemneustart ist das Problem wieder da. Das Schlimmste ist, dass sogar mein anderes System auf ner anderen Partition
(Vista) betroffen ist.
Betroffen sind fast alle Programme - MS Office, Windows Live Messenger, Bit Spirit, VoIP-Stunt-Client.... und sogar hijackthis. -.- Wenn man auf das Symbol klickt, wird das Programm im "Eingabeaufforderungsmodus" geoeffnet - auf jeden Fall oeffnet sich ganz kurz ein schwarzes Fenster mit dem Pfad zur *.exe-Datei.
Da sage ich lieber was nicht betroffen ist: Vorinstallierte Windows-Standard Programme wie WindowsMediaPlayer und Internet Explorer, und Mozilla Firefox.

Hoffe ihr koennt mir helfen.

J!M!
Seitenanfang Seitenende
11.06.2007, 14:29
Moderator

Beiträge: 7805
#2 Versuche bitte einmal Hijackthis.exe in test.com oder test.bat umzubenennen und erstelle eine Startuplist. Das fuindest du unter misc tools section "generate startuplist" beide Felder hinter dem Button musst du vorher noch anhaken. Nur um zu sehen, ob bei den Exeaufrufen etwas da steht.

Problem ist, das dein Vista auch betroffen zu sein scheint, was auch auf einen Dateivirus hindeuten kann.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.06.2007, 22:56
Member

Themenstarter

Beiträge: 328
#3 Hallo raman!

Danke fuer deine Antwort. Entschuldige fuer meine so spaete Rueckmeldung, aber hatte eine stressige Woche.

Die StartUp-List:

Zitat

StartupList report, 2007-6-16, 22:54:15
StartupList version: 1.52.2
Started from : C:\Documents and Settings\_\桌面\test.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\pkeusvq.exe
C:\WINDOWS\system32\ngpycxm.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\DOCUME~1\_\LOCALS~1\Temp\expseny.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\BitSpirit\BitSpirit.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\_\桌面\test.com

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\_\「开始」菜单\程序\启动]
腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe

Shell folders Common Startup:
[C:\Documents and Settings\All Users\「开始」菜单\程序\启动]
Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

IMJPMIG8.1 = "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync = C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A = C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
SoundMan = SOUNDMAN.EXE
zBrowser Launcher = C:\Program Files\Logitech\iTouch\iTouch.exe
LXSUPMON = C:\WINDOWS\system32\LXSUPMON.EXE RUN
ATICCC = "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
stup.exe = C:\PROGRA~1\TENCENT\Adplus\stup.exe
load = C:\WINDOWS\uninstall\rundl132.exe
upxdnd = C:\WINDOWS\upxdnd.exe
omwmstj = C:\WINDOWS\system32\pkeusvq.exe
fmvluab = C:\WINDOWS\system32\ngpycxm.exe
cmdbcs = C:\WINDOWS\cmdbcs.exe
mppds = C:\WINDOWS\mppds.exe
Kvsc3 = C:\WINDOWS\Kvsc3.exe
avgnt = "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
TkBellExe = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
Microsoft Autorun9 = C:\WINDOWS\system32\Ravasktao.exe
Microsoft Autorun10 = C:\WINDOWS\system32\nwizwmgjs.exe
Microsoft Autorun5 = C:\WINDOWS\system32\mosou.exe
Microsoft Autorun1 = C:\WINDOWS\system32\nwizdh.exe
Microsoft Autorun7 = C:\WINDOWS\system32\nwiztlbu.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
MessengerPlus3 = "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart
msnmsgr = "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
VoipStunt = "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background
svc = C:\DOCUME~1\_\LOCALS~1\Temp\expseny.exe

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\notepad.exe %1

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\WINDOWS\system32\VerCLSID.exe => C:\WINDOWS\system32\VerCLSID.bak|C:\WINDOWS\system32\LYLoader.exe|C:\WINDOWS\system32\LYLOADER.EXE|C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ.dll => C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll||E

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll

--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

MSDEG32 = LYLoader.exe
MSDWG32 = LYLoadbr.exe
MSDCG32 = LYLeador.exe
MSDOG32 = LYLoador.exe
MSDSG32 = LYLoadar.exe
MSDMG32 = LYLoadmr.exe
MSDHG32 = LYLoadhr.exe
MSDQG32 = LYLoadqr.exe

--------------------------------------------------

End of report, 7,027 bytes
Report generated in 0.063 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Lass dich von den chinesischen Zeichen nicht irritieren. Dies sind bloss Ordnernamen und so... ;)

J!M!
Seitenanfang Seitenende
16.06.2007, 23:26
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 @J!M!
Schon mal Prevx2 versucht? http://info.prevx.com/downloadprevx2.asp
__________
MfG Argus
Seitenanfang Seitenende
16.06.2007, 23:39
Member

Beiträge: 3306
#5 "PREVX 2.0 is the most powerful security solution in the World."

Klingt ja vertrauenserweckend... Ich würde die Kiste neu aufsetzen um wieder einen garantierten Zustand herzustellen. Wenn alle deine Exe Dateien zerstört sind müsstest du eh alles neu installieren ohne die Gewissheit das danach nicht doch noch irgendwo Malware auf dem PC ist. Wenn du danach ein Image von deinem System ziehst geht das nächste Neuaufsetzen innerhalb von wenigen Minuten.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
17.06.2007, 11:50
Member

Themenstarter

Beiträge: 328
#6 Hallo!

@Arnold
Bin grad in Vista, und versuch gerade hier Prevx2 zu installieren. Leider geht es nicht...
Werd es nochmal versuchen unter XP_chin.

@asdrubael
Kiste neu raufsetzen ist immer so zeitaufwendig, und das bei drei Systemen. Stimmt, wenn ich danach ein Image ziehe, würde es beim nächsten Mal schneller gehen. Doch ich will bereits dieses Mal vermeiden alles neu raufzusetzen.

@raman
Weiß nicht ob du aus der StartUp-List etwas schließen kannst?

@Modis
Da es sich anscheinend wirklich um ein Virenproblem handelt, bitte ich darum dass dieser Topic ins Virenforum verschoben wird. Sorry für die Umstände ;)

J!M!
Seitenanfang Seitenende
17.06.2007, 11:54
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Hast du schon Combofix versucht?
__________
MfG Argus
Seitenanfang Seitenende
17.06.2007, 12:03
Moderator

Beiträge: 7805
#8 Hattest du die 2 Kaestchen mit angehakt, bevor du die Startuplist erstellt hast?
Nutze das: http://home.earthlink.net/~rmbox/Reticulated/4IE_Only/FIX-exec.inf

Es kann sein, das du den Download ueber rechte Maustaste Ziel speichern unter speichern muss) Danach auf diese Datei mit der Rechten Maustaste klicken, installieren waehlen und neu starten.

Nutze bitte auch SDfix http://forum.hijackthis.de/showpost.php?p=117009&postcount=17
Lade es aber nur herunter und installiere es im abgesicherten Modus

Erstelle mit Hijackthis, wenn es umbenannt ist, ein log und poste dies, genauso wie den SDfix Report.

Im Grunde hat asdrubael aber recht, es geht nichts ueber "plattmachen".
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.06.2007, 12:38
Member

Themenstarter

Beiträge: 328
#9 yop, die beiden kästchen waren angehakt.

ok. guck mir mal das mit den beiden tools an.

J!M!
Seitenanfang Seitenende
17.06.2007, 13:49
Member

Themenstarter

Beiträge: 328
#10 -.-

Unter Vista läuft SDFix ja nicht...
Und unter XP kann der Abgesicherte Modus nicht gestartet werden. Immer wenn ich Menü drauf klicke, wird der Rechner neu gestartet. Wohl auch eine Folge des Virus---

Ich könnte anbieten statt den SDFix-Report den CatchMe-Log zu posten, aber das hilft...?

FIX-exec.inf habe ich schon ausprobiert, hat aber nichts geholfen.

J!M!
Seitenanfang Seitenende
17.06.2007, 13:52
Moderator

Beiträge: 7805
#11 Catchme, dann lieber Combofix report. Kannst du sdfix im normalen Modus installieren und dann im abgesicherten Modus starten? Ansonsten Hijackthis umbenennen und ein Log erstellen. Datfindbat waere auch hilfreich
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.06.2007, 14:33
Member

Themenstarter

Beiträge: 328
#12 SDFix im normalen Modus installieren und im abgesicherten Modus geht leider auch nicht.
Das Installieren war auch im abgesicherten Modus kein Problem, bloß beim Doppelklick auf RunThis.bat wird nur ein DOS-Fenster geöffnet und kurz danach wieder geschlossen. Wenn ich im Skript es auf "@echo on" ändere, dann sehe ich nur ganz kurz wie das Skript irgendwie die Programmzeilen durchläuft und sich dann wieder schließt.

Hier noch mal die StartUp-List im abgesicherten Modus (mit "minor sections" und "empty sections"):

Zitat

StartupList report, 17.06.2007, 14:27:44
StartupList version: 1.52.2
Started from : C:\Users\J!M!\Desktop\test.EXE
Detected: Unknown Windows (WinNT 6.00.1904)
Detected: Internet Explorer v7.00 (7.00.6000.16386)
* Using default options
==================================================

Running processes:

C:\Windows\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\J!M!\Desktop\test.com

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Users\J!M!\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup]
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
OneNote Inhaltsverzeichnis.onetoc2

Shell folders Common Startup:
[C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup]
Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\Windows\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

GrooveMonitor = "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
SoundMan = SOUNDMAN.EXE
load = C:\Windows\uninstall\rundl132.exe
Microsoft Autorun5 = C:\Windows\system32\mosou.exe
Microsoft Autorun14 = C:\Windows\system32\ztinetzt.exe
Microsoft Autorun4 = C:\Windows\system32\mydata.exe
Microsoft Autorun7 = C:\Windows\system32\nwizqjsj.exe
dasa = C:\Users\J!M!\AppData\Local\Temp\daso.exe
Microsoft Autorun12 = C:\Windows\system32\nwizzhuxians.exe
Microsoft Autorun10 = C:\Windows\system32\nwizwmgjs.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

MsnMsgr = "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
ehTray.exe = C:\Windows\ehome\ehTray.exe
(Default) =
StartCCC = C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

--------------------------------------------------

File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

Shell & screensaver key from C:\Windows\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=explorer.exe
SCRNSAVE.EXE=C:\Windows\system32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL - {72853161-30C5-4D22-B7F9-0BBC1D38A37E}
(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
(no name) - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll - {9030D464-4C02-4ABF-8ECC-5164760863C6}

--------------------------------------------------

Enumerating Download Program Files:

[MSN Photo Upload Tool]
InProcServer32 = C:\Windows\Downloaded Program Files\MsnPUpld.dll
CODEBASE = http://gfx1.mail.live.com/mail/w1/resources/VistaMSNPUpldde-de.cab

[Solitaire Showdown Class]
InProcServer32 = C:\Windows\Downloaded Program Files\SolitaireShowdown.dll
CODEBASE = http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab

[MessengerStatsClient Class]
InProcServer32 = C:\Windows\Downloaded Program Files\MessengerStatsPAClient.dll
CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

[Shockwave Flash Object]
InProcServer32 = C:\Windows\system32\Macromed\Flash\Flash9b.ocx
CODEBASE = http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab

[Minesweeper Flags Class]
InProcServer32 = C:\Windows\Downloaded Program Files\MineSweeper.dll
CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\Windows\system32\NLAapi.dll
NameSpace #4: C:\Windows\system32\napinsp.dll
NameSpace #5: C:\Windows\system32\pnrpnsp.dll
NameSpace #6: C:\Windows\system32\pnrpnsp.dll
Protocol #1: C:\Windows\system32\EBSPI.dll
Protocol #21: C:\Windows\system32\EBSPI.dll

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\Windows\system32\webcheck.dll

--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

MSDEG32 = LYLoader.exe
MSDWG32 = LYLoadbr.exe
MSDCG32 = LYLeador.exe
MSDOG32 = LYLoador.exe
MSDSG32 = LYLoadar.exe
MSDMG32 = LYLoadmr.exe
MSDHG32 = LYLoadhr.exe
MSDQG32 = LYLoadqr.exe

--------------------------------------------------

End of report, 6.204 bytes
Report generated in 0,094 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Hijackthis-Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 14:31:10, on 17.06.2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\J!M!\Desktop\test.com

O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [load] C:\Windows\uninstall\rundl132.exe
O4 - HKLM\..\Run: [Microsoft Autorun5] C:\Windows\system32\mosou.exe
O4 - HKLM\..\Run: [Microsoft Autorun14] C:\Windows\system32\ztinetzt.exe
O4 - HKLM\..\Run: [Microsoft Autorun4] C:\Windows\system32\mydata.exe
O4 - HKLM\..\Run: [Microsoft Autorun7] C:\Windows\system32\nwizqjsj.exe
O4 - HKLM\..\Run: [dasa] C:\Users\J!M!\AppData\Local\Temp\daso.exe
O4 - HKLM\..\Run: [Microsoft Autorun12] C:\Windows\system32\nwizzhuxians.exe
O4 - HKLM\..\Run: [Microsoft Autorun10] C:\Windows\system32\nwizwmgjs.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Startup: OneNote Inhaltsverzeichnis.onetoc2
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download Using &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: ìú??QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ebspi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\ebspi.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/VistaMSNPUpldde-de.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\Windows\System32\ati2sgag.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

Combofix und Datfindbat kommen noch...
Seitenanfang Seitenende
17.06.2007, 14:40
Moderator

Beiträge: 7805
#13 Unter Vista sollte eine "Reinigung leicht vonstatten gehen, indem du die Systemwiederherstellung nutzt und einen Zeitpunkt vor der Infektion waehlst.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
17.06.2007, 14:46
Member

Themenstarter

Beiträge: 328
#14 Combofix-Repot (unter chinesischem XP):

Zitat

ComboFix 07-06-13.3 - H:\Users\J!M!\Desktop\ComboFix.exe
"_" - 2007-06-17 14:38:17 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\_desktop.ini
C:\DOCUME~1\_\APPLIC~1.\cuckoo
C:\DOCUME~1\_\APPLIC~1.\cuckoo\~lu.dat
C:\DOCUME~1\_\APPLIC~1.\cuckoo\AdList
C:\DOCUME~1\_\APPLIC~1.\cuckoo\adshow.dat
C:\DOCUME~1\_\APPLIC~1.\cuckoo\AllUrlList
C:\DOCUME~1\_\APPLIC~1.\cuckoo\GetADParameter
C:\DOCUME~1\_\APPLIC~1.\cuckoo\GetAdType
C:\DOCUME~1\_\APPLIC~1.\cuckoo\pluglist.xml
C:\DOCUME~1\_\APPLIC~1.\cuckoo\RelateKey
C:\DOCUME~1\_\APPLIC~1.\cuckoo\SendSoftInfo2
C:\DOCUME~1\_\APPLIC~1.\cuckoo\ThirdSoftInfo2
C:\DOCUME~1\_\APPLIC~1.\cuckoo\windows1.log
C:\DOCUME~1\_\APPLIC~1.\cuckoo\windows2.log
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\Microsoft\PCTools
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\Microsoft\PCTools\pctools.dll
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t
C:\Program Files\cnnic
C:\Program Files\cnnic\Cdn\cdnforie.dll
C:\Program Files\cnnic\Cdn\cdnunins.exe
C:\Program Files\cnnic\Cdn\cdnvers.dat
C:\Program Files\cnnic\Cdn\src.dat
C:\Program Files\cnnic\Cdn\Update\cdnrenew.exe
C:\Program Files\cnnic\Cdn\Update\cdnunins.exe
C:\Program Files\cnnic\Cdn\Update\cdnvers.dat
C:\Program Files\Common Files\cpush
C:\Program Files\Common Files\cpush\cpush.tmp
C:\Program Files\Common Files\cpush\cpush0.dll
C:\Program Files\Common Files\cpush\Uninst.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\system.2dt
C:\Program Files\Common Files\system\updaterun.exe
C:\Program Files\Internet Explorer\PLUGINS\system32.jmp
C:\Program Files\Internet Explorer\plugins\System64.sys
C:\Program Files\internet explorer\winlogon.exe
C:\Program Files\iwnd\aofv.dll
C:\Program Files\iwnd\sgxn.dll
C:\Program Files\iwnd\vjaq.dll
C:\Program Files\iwnd\xlcs.dll
c:\rising.exe
C:\WINDOWS\_temp
C:\WINDOWS\_temp\_Setup.exe
C:\WINDOWS\_temp\Analysis.ini
C:\WINDOWS\_temp\data1.cab
C:\WINDOWS\_temp\data1.hdr
C:\WINDOWS\_temp\data2.cab
C:\WINDOWS\_temp\ikernel.ex_
C:\WINDOWS\_temp\layout.bin
C:\WINDOWS\_temp\Setup.exe
C:\WINDOWS\_temp\Setup.ini
C:\WINDOWS\_temp\setup.inx
C:\WINDOWS\_temp\setup.iss
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\f2.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\logo1_.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\mywinsys.ini
C:\WINDOWS\qqiehelper.dll
C:\WINDOWS\richdll.dll
C:\WINDOWS\system32\10853892968.exe
C:\WINDOWS\system32\10853893509.exe
C:\WINDOWS\system32\10855097222.exe
C:\WINDOWS\system32\10855098041.exe
C:\WINDOWS\system32\10855100012.exe
C:\WINDOWS\system32\10855100821.exe
C:\WINDOWS\system32\10855101692.exe
C:\WINDOWS\system32\11169296871.exe
C:\WINDOWS\system32\11169397311.exe
C:\WINDOWS\system32\11169403151.exe
C:\WINDOWS\system32\11169403202.exe
C:\WINDOWS\system32\11169405252.exe
C:\WINDOWS\system32\11169406791.exe
C:\WINDOWS\system32\11169415151.exe
C:\WINDOWS\system32\11169421611.exe
C:\WINDOWS\system32\15.dll
C:\WINDOWS\system32\20.dll
C:\WINDOWS\system32\20328.exe
C:\WINDOWS\system32\3.exe
C:\WINDOWS\system32\5.exe
C:\WINDOWS\system32\5841.dll
C:\WINDOWS\system32\8.exe
C:\WINDOWS\system32\84641.exe
C:\WINDOWS\system32\851.dll
C:\WINDOWS\system32\9.exe
C:\WINDOWS\system32\901.exe
C:\WINDOWS\system32\advport.dll
C:\WINDOWS\system32\AlxRes070523.exe
C:\WINDOWS\system32\B32E18B6.dat
C:\WINDOWS\system32\bind_50099.exe
C:\WINDOWS\system32\cdnprot.dat
C:\WINDOWS\system32\checkfile.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\com\csrss.exe
C:\WINDOWS\system32\d3d1caps.srg
C:\WINDOWS\system32\dgd4bs.exe
C:\WINDOWS\system32\dpyeos35.dll
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\dpyeos35.sys
C:\WINDOWS\system32\drivers\hetkkl19.sys
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\oszdos87.sys
C:\WINDOWS\system32\drivers\vcuwbw94.sys
C:\WINDOWS\system32\hsmgl.dll
C:\WINDOWS\system32\kkdj3sdf3.dll
C:\WINDOWS\system32\kkdj3sdf3.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\mshtmll.dll
C:\WINDOWS\system32\msrundll.exe
C:\WINDOWS\system32\mywebhit.ini
C:\WINDOWS\system32\mywebhit.ini.tmp
C:\WINDOWS\system32\ntsokele.exe
C:\WINDOWS\system32\nwwek.dll
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\scandisk.dll
C:\WINDOWS\system32\score.txt
C:\WINDOWS\system32\scrsys070523.scr
C:\WINDOWS\system32\scrsys16_070523.scr
C:\WINDOWS\system32\sdoyf.dll
C:\WINDOWS\system32\system
C:\WINDOWS\system32\system\sysbacks\lib
C:\WINDOWS\system32\system\sysbacks\setup.tmp
C:\WINDOWS\system32\system\sysbacks\up.dat
C:\WINDOWS\system32\system\sysbacks\verx.dat
C:\WINDOWS\system32\vcuwbw94.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wbem\aejgx.dll
C:\WINDOWS\system32\wbem\jmcur.dll
C:\WINDOWS\system32\wbem\tnbpk.dll
C:\WINDOWS\system32\wbem\yjokc.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\winsys16_070523.dll
C:\WINDOWS\system32\winsys32_070523.dll
C:\WINDOWS\system32\winup
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\system32\zzlzy.dll
C:\WINDOWS\temp\~my1.tmp
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\winform.exe
d:\rising.exe
e:\rising.exe


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_CELINDRV
-------\LEGACY_MSDEBUGSVC
-------\LEGACY_NPF
-------\LEGACY_REMOTEDBG
-------\LEGACY_WINDHCPSVC
-------\LEGACY_WINXPDHCPSVC
-------\MSDebugsvc
-------\NPF
-------\RemoteDbg
-------\WinDHCPsvc
-------\WinXPDHCPsvc


((((((((((((((((((((((((( Files Created from 2007-05-17 to 2007-06-17 )))))))))))))))))))))))))))))))


2007-06-17 14:37 8,336 --a------ C:\WINDOWS\system32\nwizzhuxians.exe
2007-06-17 14:37 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-17 14:37 4,992 --ah----- C:\WINDOWS\system32\MsAudio.sys
2007-06-17 14:37 32,768 --ah----- C:\WINDOWS\system32\EBSPI.dll
2007-06-17 14:37 283 --a------ C:\WINDOWS\CF_anti-viking.bat
2007-06-17 14:37 11,264 --a------ C:\WINDOWS\system32\nwizzhuxians.dll
2007-06-16 16:51 20,480 --a------ C:\WINDOWS\system32\ahfjpx.dll
2007-06-16 16:51 12,800 --a------ C:\WINDOWS\system32\noyize.dll
2007-06-16 16:50 8,988 --a------ C:\WINDOWS\system32\mosou.exe
2007-06-16 16:50 11,776 --a------ C:\WINDOWS\system32\MOSOU.dll
2007-06-15 19:05 20,480 --a------ C:\WINDOWS\system32\fkkccj.dll
2007-06-15 19:05 19,456 --a------ C:\WINDOWS\system32\kzbura.dll
2007-06-15 19:05 16,384 --a------ C:\WINDOWS\system32\hkkdgl.dll
2007-06-15 19:05 12,800 --a------ C:\WINDOWS\system32\xrvirz.dll
2007-06-15 18:59 <DIR> d-------- C:\Program Files\Windows Live
2007-06-11 08:30 8,536 --a------ C:\WINDOWS\system32\nwizwmgjs.exe
2007-06-11 08:30 19,968 --a------ C:\WINDOWS\system32\dzsick.dll
2007-06-11 08:30 10,752 --a------ C:\WINDOWS\system32\nwizwmgjs.dll
2007-06-11 08:30 10,240 --a------ C:\WINDOWS\system32\nnedjh.dll
2007-06-11 08:29 16,896 --a------ C:\WINDOWS\system32\zahcye.dll
2007-06-08 22:03 <DIR> d-------- C:\Program Files\mIRC
2007-06-08 12:41 <DIR> d-------- C:\Program Files\Common Files\xing shared
2007-06-08 08:36 18,432 --a------ C:\WINDOWS\system32\coauqx.dll
2007-06-08 08:36 16,896 --a------ C:\WINDOWS\system32\vfwjdv.dll
2007-06-08 08:36 16,384 --a------ C:\WINDOWS\system32\qoffen.dll
2007-06-08 08:36 10,240 --a------ C:\WINDOWS\system32\afrfwf.dll
2007-06-08 08:34 8,704 --a------ C:\WINDOWS\system32\Ravasktao.dll
2007-06-08 08:34 7,564 --a------ C:\WINDOWS\system32\Ravasktao.exe
2007-06-04 14:53 17,959 ---h----- C:\WINDOWS\system32\RAVWM531.dll
2007-06-04 14:52 9,728 --a------ C:\WINDOWS\system32\mh103.dll
2007-06-04 14:52 8,428 --a------ C:\WINDOWS\system32\dllhost32.exe
2007-06-04 14:52 15,116 --a------ C:\WINDOWS\system32\cataic.dll
2007-06-04 14:50 8,648 --a------ C:\WINDOWS\system32\ztinetzt.exe
2007-06-04 14:50 18,944 --a------ C:\WINDOWS\system32\WMIApiSrv.dll
2007-06-04 14:50 18,944 --a------ C:\WINDOWS\system32\netsrvcs.dll
2007-06-04 14:50 16,896 --a------ C:\WINDOWS\system32\moyu103.dll
2007-06-04 14:50 15,360 --a------ C:\WINDOWS\system32\nwiztlbb.dll
2007-06-04 14:50 11,264 --a------ C:\WINDOWS\system32\ztinetzt.dll
2007-06-04 14:50 10,716 --a------ C:\WINDOWS\system32\nwiztlbu.exe
2007-06-04 10:22 10,292 --a------ C:\WINDOWS\system32\LYLOADER.EXE
2007-05-25 23:20 <DIR> d-------- C:\Program Files\KONAMI
2007-05-25 22:01 <DIR> d-------- C:\Program Files\VoipStunt.com
2007-05-25 22:00 9,728 --a------ C:\WINDOWS\system32\dh2103.dll
2007-05-24 20:16 <DIR> d-------- C:\Program Files\Web Publish
2007-05-24 17:12 <DIR> d-------- C:\DOCUME~1\_\APPLIC~1\Lavasoft
2007-05-24 16:23 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
2007-05-24 16:22 <DIR> d-------- C:\Program Files\Lavasoft
2007-05-24 16:19 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\AntiVir PersonalEdition Classic
2007-05-24 11:33 7,912 --a------ C:\WINDOWS\system32\mh100.exe
2007-05-24 11:00 4,577 --a------ C:\WINDOWS\system32\ccctvv4.exe
2007-05-24 11:00 272,337 --a------ C:\WINDOWS\system32\ccctvv3.exe
2007-05-24 10:59 4,570 --a------ C:\WINDOWS\system32\drivers\NSYFLQWC.DAT
2007-05-24 10:59 20,480 --a------ C:\WINDOWS\system32\ccctvv1.exe
2007-05-24 10:59 175,071 --a------ C:\WINDOWS\system32\ccctvv2.exe
2007-05-24 10:58 17,408 --a------ C:\WINDOWS\system32\nwizdh.exe
2007-05-24 10:58 12,800 --a------ C:\WINDOWS\system32\tqvfpm.dll
2007-05-24 10:57 36,735 ---hs---- C:\WINDOWS\system32\pkeusvq.exe
2007-05-24 10:57 36,735 ---hs---- C:\WINDOWS\system32\ngpycxm.exe
2007-05-24 10:57 36,735 ---hs---- C:\WINDOWS\system32\meex.com
2007-05-24 10:57 20,992 --a------ C:\WINDOWS\WSVBRS.exe
2007-05-24 10:57 13,312 --a------ C:\WINDOWS\system32\WSVBRS.dll
2007-05-24 10:51 20,480 --a------ C:\WINDOWS\tpxdnd.exe
2007-05-24 10:51 16,896 --a------ C:\WINDOWS\system32\nwizqjsj.dll
2007-05-24 10:51 12,800 --a------ C:\WINDOWS\system32\tpxdnd.dll
2007-05-24 10:51 11,432 --a------ C:\WINDOWS\system32\nwizqjsj.exe
2007-05-24 10:49 14,336 --a------ C:\WINDOWS\system32\adedwt.dll
2007-05-24 10:44 196,608 --a------ C:\WINDOWS\system32\drivers\svchost.exe
2007-05-24 10:44 11,081 --a------ C:\WINDOWS\system32\drivers\scvhost.exe
2007-05-24 10:37 196,608 --a------ C:\WINDOWS\system32\Game14.exe
2007-05-21 09:24 1,835,008 --a------ C:\DOCUME~1\_\ntuser.dat


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-17 12:40:57 5,066 ----a-w C:\WINDOWS\system32\MSDEG32.DLL
2007-06-17 12:40:57 2,818 ----a-w C:\WINDOWS\system32\LYMANGR.DLL
2007-06-17 12:39:16 -------- d-----w C:\Program Files\iwnd
2007-06-17 12:37:46 8,704 ----a-w C:\WINDOWS\system32\nwizAsktao.dll
2007-06-17 12:37:44 7,520 ----a-w C:\WINDOWS\system32\nwizAsktao.exe
2007-06-17 12:37:34 172,118 --sha-w C:\WINDOWS\system32\nslookupi.exe
2007-06-17 12:37:13 8,348 ----a-w C:\WINDOWS\system32\mydata.exe
2007-06-17 12:37:01 10,292 ----a-w C:\Privilege.dat
2007-06-17 12:36:53 20,480 ----a-w C:\WINDOWS\system32\upxdnd.dll
2007-06-17 12:36:52 -------- d-----w C:\Program Files\MSN Messenger
2007-06-17 12:36:52 -------- d-----w C:\Program Files\MessengerPlus! 3
2007-06-17 11:30:52 -------- d-----w C:\Program Files\BitSpirit
2007-06-16 21:02:03 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-06-16 14:50:58 29,696 ----a-w C:\WINDOWS\upxdnd.exe
2007-06-15 17:03:44 -------- d-----w C:\Program Files\Messenger Plus! Live
2007-06-11 06:28:00 18,944 ----a-w C:\WINDOWS\system32\windds32.dll
2007-06-08 10:41:29 -------- d-----w C:\DOCUME~1\_\APPLIC~1\Real
2007-06-08 10:41:00 -------- d-----w C:\Program Files\Common Files\Real
2007-06-04 12:44:01 1,696 ----a-w C:\WINDOWS\system32\drivers\usbine.sys
2007-05-29 09:38:59 11,776 ----a-w C:\WINDOWS\system32\nwizqqfo.dll
2007-05-25 20:01:12 9,420 ----a-w C:\WINDOWS\system32\nwizqqfo.exe
2007-05-24 17:05:55 -------- d---a-w C:\Program Files\Tencent
2007-05-24 15:35:30 95,888 ----a-w C:\WINDOWS\system32\hostA.exe
2007-05-24 14:14:33 1,696 ----a-w C:\WINDOWS\system32\drivers\usbinte.sys
2007-05-24 08:39:30 -------- d-----w C:\Program Files\Realtek AC97
2007-05-24 08:39:24 -------- d-----w C:\Program Files\AvRack
2007-05-22 12:43:12 28,960 ----a-w C:\WINDOWS\system32\hostB2.exe
2007-05-18 13:33:34 24,064 ----a-w C:\WINDOWS\system32\xzktbi73.dll
2007-05-16 23:05:04 55,296 ----a-w C:\WINDOWS\system32\ssup.dll
2007-05-14 16:14:34 122,880 ----a-w C:\WINDOWS\system32\scrax.dll
2007-05-08 13:20:40 112,274 ----a-w C:\WINDOWS\system32\d03.exe
2007-05-05 20:30:36 -------- d-----w C:\Program Files\Chami
2007-05-02 20:14:52 1,165 ----a-w C:\WINDOWS\mozver.dat
2007-04-29 03:11:04 57,104 --sh--w C:\WINDOWS\system32\dr32.exe
2007-04-29 03:11:04 57,104 --sh--w C:\WINDOWS\dr32.exe
2007-04-20 14:49:34 -------- d-----w C:\DOCUME~1\_\APPLIC~1\QQUpdate
2007-04-20 13:50:45 -------- d-----w C:\Program Files\Update
2007-04-17 12:13:25 -------- d-----w C:\DOCUME~1\_\APPLIC~1\QQ
2007-04-17 12:08:31 -------- d-----w C:\DOCUME~1\_\APPLIC~1\Screenshot Sender
2007-04-14 18:26:35 0 ----a-w C:\WINDOWS\nsreg.dat
2007-04-14 18:18:29 59,102 ----a-w C:\WINDOWS\system32\prfc0804.dat
2007-04-14 18:18:29 199,128 ----a-w C:\WINDOWS\system32\prfh0804.dat
2007-04-14 17:44:31 81,920 ------r C:\WINDOWS\bwUnin-6.1.4.61-8876480L.exe
2007-04-09 16:32:57 0 --sha-r C:\MSDOS.SYS
2007-04-09 16:32:57 0 --sha-r C:\IO.SYS
2007-04-09 16:32:57 0 ----a-w C:\CONFIG.SYS
2007-04-09 16:32:57 0 ----a-w C:\AUTOEXEC.BAT
2007-04-09 16:30:15 21,464 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2005-05-24 13:47:17 57,108 --sh--w C:\WINDOWS\nttstat.exe
2004-08-04 08:31:11 30,208 --sh--w C:\WINDOWS\system32\bbqpri.dll
2007-03-08 15:37:22 46,892 --sh--w C:\WINDOWS\system32\ctfnom.exe
2001-05-24 18:16:27 35,840 --sh--w C:\WINDOWS\system32\Game.exe
2005-05-24 13:47:17 57,108 --sh--w C:\WINDOWS\system32\nttstat.exe
1900-05-24 08:57:49 18,432 --sh--w C:\WINDOWS\system32\servet.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 C:\WINDOWS\soundman.exe]
"zBrowser Launcher"="C:\Program Files\Logitech\iTouch\iTouch.exe" [2003-12-01 11:38]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12]
"stup.exe"="C:\PROGRA~1\TENCENT\Adplus\stup.exe" [2007-05-14 18:14]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-01-18 15:52]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-06-08 12:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 18:52]
"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2007-04-14 19:49]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55]
"VoipStunt"="C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" [2006-12-14 15:18]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 01:03]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"MSDEG32"=LYLoader.exe
"MSDWG32"=LYLoadbr.exe
"MSDCG32 "=LYLeador.exe
"MSDOG32"=LYLoador.exe
"MSDSG32"=LYLoadar.exe
"MSDMG32"=LYLoadmr.exe
"MSDHG32"=LYLoadhr.exe
"MSDQG32"=LYLoadqr.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{91B1E846-2BEF-4345-8848-7699C7C9935F}"="C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll" [2007-06-16 16:50]
"{C54C4AFB-8A2A-6C1E-BA41-C20F02940401}"="C:\WINDOWS\system32\15.dll" []
"{C51C4AFB-8A3A-6C1E-BA41-C20F02940603}"="C:\WINDOWS\system32\20.dll" []
"{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}"="C:\WINDOWS\system32\scandisk.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\360rpt.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\360tray.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AgentSvr.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AppSvc32.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\autoruns.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avconsol.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avgrssvc.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\AvMonitor.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\CCenter.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ccSvcHst.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\EGHOST.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FileDsty.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FTCleanerShell.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FYFireWall.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Iparmor.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\isPwdSvc.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KaScrScn.SCR]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KASMain.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KASTask.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAV32.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVDX.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVPF.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVPFW.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVSetup.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KAVStart.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KISLnchr.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KMailMon.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KMFilter.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KPFW32.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KPFW32X.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KPfwSvc.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KRepair.com]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KsLoader.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KVCenter.kxp]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KvfwMcl.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KVMonXP_1.kxp]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kvol.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kvolself.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KvReport.kxp]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KVScan.kxp]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KVSrvXP.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KVStub.kxp]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kvupload.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kvwsc.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KvXP_1.kxp]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KWatch.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KWatch9x.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KWatchX.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\loaddll.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\logo1_.exe]
debugger=C:\WINDOWS\nircmd.exe execmd C:\WINDOWS\CF_anti-viking.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\mcconsol.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\mmqczj.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Navapsvc.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Navapw32.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\nod32.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\nod32krn.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\nod32kui.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NPFMntor.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\QHSET.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\QQKav.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RavMonD.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RavStub.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RavTask.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RegClean.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rfwcfg.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rfwmain.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rfwsrv.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RsAgent.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Rsaupd.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\rundl132.exe]
debugger=C:\WINDOWS\nircmd.exe execmd C:\WINDOWS\CF_anti-viking.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\safelive.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\scan32.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\shcfg32.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SmartUp.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\symlcsvc.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SysSafe.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\TrojanDetector.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Trojanwall.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\UIHost.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\UmxAgent.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\UmxAttachment.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\UmxCfg.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\UmxFwHlp.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\UmxPol.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\upiea.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\UpLive.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vsstat.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\webscanx.exe]
Debugger=C:\WINDOWS\system32\ngpycxm.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cff182bf-e6c5-11db-88de-806d6172696f}]
AutoRun\command- F:\Setup.EXE

*Newly Created Service* - CELINDRV

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-17 14:40:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
MSDCG32 = LYLeador.exe?

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-17 14:41:24 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-17 14:41

--- E O F ---
Hab es mit der Systemwiederherstellung unter Vista probiert, doch es hat nichts geholfen. Kannst du etwas aus dem Hijackthis-Log schliessen?

Datfindbat kommt gleich...
Seitenanfang Seitenende
17.06.2007, 14:52
Moderator

Beiträge: 7805
#15 Ja, man sieht, das der Rechner total durchseucht ist!;) Siehe auch die deletions Meldung von Combofix. Du hast XP und Vista im selben Ordner installiert??

Ich wuerde wirklich sagen, das da nicht viel zu retten ist. Drweb cureit kannst du unter XP im abgesicherten Modus auch mal nutzen
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: