TR/Vundo ist hartnäckig wie Unkraut |
||
---|---|---|
#0
| ||
03.04.2008, 22:20
...neu hier
Beiträge: 3 |
||
|
||
03.04.2008, 23:31
Ehrenmitglied
Beiträge: 6028 |
#2
1.
Java Dein Java software ist veraltet, Download jre-6u5-windows-i586-p.exe Scrolle runter nach ----> Java Runtime Environment (JRE) 6 Update 5 The Java SE Runtime Environment (JRE) allows end-users to run Java applications. Klicke auf Download Setze in haeckchen bei --->"Accept License Agreement". Klicke “Windows Offline Installation, Multi-language” um “jre-6u5-windows-i586-p.exe” zum Desktop zu installieren Schliesse alle Programme auch dein Webbrowser Ueber "Start -> Einstellungen -> Systemsteuerung -> Software Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE) Nachdem alles entfernt wurde --->Rechner neu starten Installiere jetzt vom Desktop aus ---> jre-6u5-windows-i586-p.exe - 2. Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei Zitat O2 - BHO: (no name) - {0208C4D3-03A9-4155-8B74-D77F7DA28F18} - C:\WINDOWS\system32\geBtQkHA.dll (file missing)klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst 3. CombiFix entfernen Start > Ausführen>Kopiere rein ComboFix /U OK Entferne auf C:\combofix.txt 4. OTMoveIt.exe http://www.virus-protect.org/artikel/tools/otmoveIt.html OTMoveIt2 zum Desktop Starte OTMoveIt2 Und druecke die “CleanUp” Taste Im naeschten Fenster “Begin cleanup process?” klicke Yes Im naechsten Fenster “Do you want to reboot?” klicke Yes 5. Malwarebytes Anti-Malware http://www.virus-protect.org/artikel/tools/malwarebytes.html Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK Danach wird gefragt den Rechner neu zu starten,lass es zu « __________ MfG Argus |
|
|
||
06.04.2008, 00:27
...neu hier
Themenstarter Beiträge: 3 |
#3
ich habe alles abgearbeitet, hier die mbam log-Datei:
Malwarebytes' Anti-Malware 1.10 Datenbank Version: 594 Scan Art: Komplett Scan (C:\|E:\|F:\|G:\|H:\|K:\|) Objekte gescannt: 134443 Scan Dauer: 1 hour(s), 21 minute(s), 38 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 12 Infizierte Registrierungswerte: 1 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.htmlpanel (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.htmlpanel.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\funwebproductsinstaller.start.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{1d4db7d1-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{1d4db7d3-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-86bd-fd60bb9aae3a} (Adware.OneToolBar) -> Quarantined and deleted successfully. Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) Infizierte Dateien: (Keine Malware Objekte gefunden) |
|
|
||
06.04.2008, 02:24
Ehrenmitglied
Beiträge: 29434 |
#4
es müsste wieder alles i.o. sein.
du kannst noch mal mit Antivirus im abgesicherten modus scannen (die Heuristik hochstellen) http://board.protecus.de/t23979.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2008, 20:34
...neu hier
Themenstarter Beiträge: 3 |
#5
Vielen dank echt super, dass es Foren wie dieses und Moderatoren wie euch gibt...
|
|
|
||
mein System ist mit dem Trojaner TR/Vundo infiziert und AntiVir bekommt ihn nicht klein. Jegliche Versuche sind gescheitert. Ich habe jetzt mit dem CCleaner alles bereinigt, danach Combofix gestartet und anschließend HiJackthis
Das ist, was dabei rum gekommen ist an log - Dateien aus dem Editor:
Combofix:
ComboFix 08-04-02.1 - Tiffy 2008-04-03 21:41:49.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.202 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Tiffy\Desktop\Vundo\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\ssqqPGWP.dll
.
((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 ))))))))))))))))))))))))))))))
.
2008-04-03 21:06 . 2008-04-03 21:06 <DIR> d-------- C:\Programme\CCleaner
2008-04-03 13:29 . 2008-04-03 16:00 <DIR> d-------- C:\VundoFix Backups
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-03 19:41 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\OpenOffice.org2
2008-04-03 19:33 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\SmartSurfer
2008-04-03 19:06 --------- d-----w C:\Programme\Yahoo!
2008-04-03 14:04 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\SmartSurfer
2008-04-03 11:03 --------- d-----w C:\Programme\ICQToolbar
2008-03-29 13:24 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\SmartSurfer
2008-02-29 12:43 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\ICQ Toolbar
2008-02-23 12:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-02-14 18:56 --------- d-----w C:\Programme\Opera
2008-02-13 15:31 --------- d-----w C:\Programme\ICQ6
2008-02-10 21:44 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-02-10 21:42 --------- d-----w C:\Programme\Microsoft Games
2008-02-10 21:22 --------- d-----w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\DAEMON Tools
2008-02-10 21:16 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-05 15:34 --------- d-----w C:\Programme\DVD Shrink
2007-12-16 20:23 70 ----a-w C:\Dokumente und Einstellungen\Tiffy\Anwendungsdaten\wklnhst.dat
2007-02-26 14:24 6,615,752 ----a-w C:\Programme\FirefoxGoogleToolbarSetup.exe
.
((((((((((((((((((((((((((((( snapshot@2008-04-03_21.38.38.29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-03 14:05:56 64,656 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-04-03 19:38:25 64,656 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-04-03 14:05:56 53,572 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-04-03 19:38:25 53,572 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-04-03 14:05:56 392,842 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-04-03 19:38:25 392,842 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-04-03 14:05:56 381,828 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-04-03 19:38:25 381,828 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0208C4D3-03A9-4155-8B74-D77F7DA28F18}]
C:\WINDOWS\system32\geBtQkHA.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F24DC5E-19D4-4995-B419-2A5FC95F52A6}]
C:\WINDOWS\system32\byXPJCVp.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [ ]
"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 01:00 1211176]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 21:42 77824 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"LXBLKsk"="C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe" [2003-03-26 11:11 282624]
"MemoryCardManager"="C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe" [2003-04-28 17:29 122880]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [ ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-11-09 15:58 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-25 12:34 249896]
"Arcor Online"="" []
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]
"Windows live Messenger"="msn.com" []
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
CAPIControl.lnk - C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe [2003-04-03 17:58:38 274432]
HomeNet Control.lnk - C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe [2002-09-19 16:44:32 81920]
m-trip Launcher.lnk - C:\Programme\OLYMPUS\m-trip\Bin\m-tripLauncher.exe [2007-11-04 22:36:10 53248]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Microsoft Games\\Dungeon Siege 2\\DungeonSiege2.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-09 11:04]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-09 11:04]
R2 CAPI20;Eumex 604PC HomeNet;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2003-04-03 15:48]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2003-03-19 13:36]
R2 SmartSurferManager;SmartSurfer Manager;"C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe" [2007-09-10 16:47]
R3 dtwmnic5;Telekom Eumex 704PC DSL;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [2002-12-20 11:04]
S3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 15:04]
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2003-03-25 20:30]
.
Inhalt des "geplante Tasks" Ordners
"2008-04-03 18:52:00 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 21:43:42
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-03 21:44:39
ComboFix-quarantined-files.txt 2008-04-03 19:44:24
24 Verzeichnis(se), 56,620,695,552 Bytes frei
26 Verzeichnis(se), 56,608,489,472 Bytes frei
.
2008-03-12 16:56:14 --- E O F ---
HiJack - Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:49, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\MrobeService.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\OLYMPUS\m-trip\Bin\m-tripLauncher.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tiffy\Desktop\HiJack\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0208C4D3-03A9-4155-8B74-D77F7DA28F18} - C:\WINDOWS\system32\geBtQkHA.dll (file missing)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F24DC5E-19D4-4995-B419-2A5FC95F52A6} - C:\WINDOWS\system32\byXPJCVp.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXBLKsk] C:\PROGRA~1\Lexmark\PHOTOC~1\LXBLKsk.exe
O4 - HKLM\..\Run: [MemoryCardManager] C:\Programme\Lexmark\Lexmark Photo Center\MemoryCardManager.exe -startup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows live Messenger] msn.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: m-trip Launcher.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E656997F-48C6-4865-93C9-C27054E2EDD8}: NameServer = 195.129.111.50 195.129.111.49
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MrobeService - OLYMPUS IMAGING CORP. - C:\WINDOWS\system32\MrobeService.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
--
End of file - 10196 bytes
datfind.bat - log
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12
Verzeichnis von C:\WINDOWS\system32
03.04.2008 21:38 381.828 perfh009.dat
03.04.2008 21:38 392.842 perfh007.dat
03.04.2008 21:38 53.572 perfc009.dat
03.04.2008 21:38 64.656 perfc007.dat
03.04.2008 21:38 902.476 PerfStringBackup.INI
03.04.2008 21:34 1.158 wpa.dbl
05.03.2008 18:30 19.148.408 MRT.exe
11.01.2008 07:32 44.544 pngfilt.dll
2091 Datei(en) 470.457.255 Bytes
0 Verzeichnis(se), 56.620.797.952 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12
Verzeichnis von C:\DOKUME~1\Tiffy\LOKALE~1\Temp
03.04.2008 22:17 102.367 datfind.txt
03.04.2008 22:04 114.688 ~DF4D51.tmp
03.04.2008 21:53 128 WCESCOMM.LOG
03.04.2008 21:35 0 JETBA62.tmp
03.04.2008 21:34 222.319 WCESLog.log
5 Datei(en) 439.502 Bytes
0 Verzeichnis(se), 56.620.822.528 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12
Verzeichnis von C:\WINDOWS
03.04.2008 21:44 53.248 PSEXESVC.EXE
03.04.2008 21:43 227 system.ini
03.04.2008 21:34 22 FLASHKSK.INI
03.04.2008 21:34 3.230 LXBLCAH.ini
03.04.2008 21:34 0 0.log
03.04.2008 21:34 6.104 ModemLog_Bluetooth DUN Modem.txt
03.04.2008 21:34 6.098 ModemLog_Bluetooth Fax Modem.txt
03.04.2008 21:34 4.880 ModemLog_PCI SoftV92 Data Fax Modem with SmartCP.txt
03.04.2008 21:34 159 wiadebug.log
03.04.2008 21:34 1.956.345 WindowsUpdate.log
03.04.2008 21:34 50 wiaservc.log
03.04.2008 21:33 2.048 bootstat.dat
03.04.2008 21:32 32.618 SchedLgU.Txt
02.04.2008 22:03 116 NeroDigital.ini
25.03.2008 17:12 550 lexstat.ini
09.03.2008 16:04 54.156 QTFont.qfn
14.02.2008 18:54 335 mozregistry.dat
0 Verzeichnis(se), 56.620.818.432 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12
Verzeichnis von C:\WINDOWS\temp
03.04.2008 21:56 18.104 smurfver.xml
1 Datei(en) 18.104 Bytes
0 Verzeichnis(se), 56.620.818.432 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist 429547
Volumeseriennummer: 5CAC-0C12