Trojaner Backdoor.Win32.Agent.ac löschen?

#1 Hallo alle miteinander!

Habe bei dem Rechner meiner Eltern zufällig gesehen, dass Kaspersky beim Start des PC's die einzelnen Module nicht startet.
Im abgesicherten Modus durchchecken lassen und siehe da - einen Trojaner gefunden.
Leider lässt er sich nicht desinfizieren oder löschen (auch nicht im abgesicherten Modus), deswegen bräucht ich da eure Hilfe!

Die angebliche Datei (comaloc.dll/UPX) befindet sich in im System32 Ordner - dort wird sie mir aber nicht angezeigt (habe auch die unsichtbaren Dateien und Ordner zum Anzeigen freigegeben)
Beim Trojaner handelt es sich laut Kaspersky um den "Backdoor.Win32.Agent.ac"

Hier mal der HiJackThis log...

---------------------------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:28:44, on 13.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\USBStorage\USBDetector.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SetIcon] \Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.gamers.at
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129803779734
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E22902C-7DB4-415C-95FB-07DEE150FCA7}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{E29AC3D3-7B8C-472F-ABD9-121EC9CCFA16}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O18 - Filter: text/plain - {77D76D10-2748-49C2-A39F-328692A0C011} - C:\WINDOWS\system32\jgoeba.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--------------------------------------------------------------------------------------------

Ich weis, der naheliegendste Tipp hier, wäre neu aufsetzen. Allerdings möchte ich das nur als letzten Ausweg machen, da meine Eltern natürlich Ihre Dateien über den ganzen PC verstreut haben und nur sproadisch irgendetwas auf CD gesichert haben. Somit wäre das ganz schön viel Arbeit da ne Sicherung von den Daten anzulegen, die sie behalten wollen -.-

Danke schonmal im Voraus! Hoffe ihr könnt mir da weiterhelfen!

#2 Hallo demoness

die Internetverbindung wird nach San Franciso umgeleitet
ist der Wareout.

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

199 Fremont St.
12th Floor
San Francisco
California,94105

der installiert sich, wenn man sich auf bestimmten Seiten rumdrückt - und dann noch alles abnickt, was sich installieren will ........
--------------------------------------------------------------------

««
mit dem HijackThis löschen ("fixen")
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
Klicke: "Do a system scan only"
und wähle fix checked.

Zitat

O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL

O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{6E22902C-7DB4-415C-95FB-07DEE150FCA7}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{E29AC3D3-7B8C-472F-ABD9-121EC9CCFA16}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222

O18 - Filter: text/plain - {77D76D10-2748-49C2-A39F-328692A0C011} - C:\WINDOWS\system32\jgoeba.dll

««
wende fixwareout an + poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

««
wende bitte Combofix an + poste den report (Warnmeldungen wegklicken)
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 mhh klingt ja nicht gut, danke schon mal für die erste hilfe von dir!

bin heute wieder bei meinen eltern und werd das gleich mal machen was du mir vorgeschlagen hast!

MfG

#4 wenn du alles so anwendest, wie beschrieben, sollte man das wieder sauber bekommen
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

so hab die Fixes im Hijackthis jetzt gemacht, keine Probleme, die Einträge waren auch nach einem Neustart nicht mehr da!

so weit so gut...

Fixwareout angewendet....

PC ist nicht von allein heruntergefahren (hab 20min. gewartet) habe ihn so resetet (war auch beim combofix dann so!). Sonst verlief alles ohne Probleme...hier der report

Username "Admin" - 19.04.2008 12:39:29 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

Der DNS-Auflösungscache konnte nicht geleert werden: Beim Ausführen der Funktion ist ein Fehler aufgetreten.


PC crashed or was not allowed to reboot.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_05\\bin\\jusched.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"Disc Detector"="C:\\Programme\\Creative\\ShareDLL\\CtNotify.exe"
"UpdReg"="C:\\WINDOWS\\Updreg.exe"
"CTStartup"="C:\\Programme\\Creative\\SBAudigy\\Program\\CTEaxSpl.EXE /run"
"Jet Detection"="C:\\Programme\\Creative\\SBAudigy\\PROGRAM\\ADGJDet.exe"
"SetIcon"="\\Program Files\\SMSC\\Seticon.exe"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"USBDetector"="C:\\USBStorage\\USBDetector.exe"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"msnappau"="\"C:\\Programme\\MSN Apps\\Updater\\01.02.3000.1001\\de\\msnappau.exe\""
"AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"
"TaskTray"="C:\\Programme\\Creative\\SBAudigy\\Taskbar\\CTLTray.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


Und jetzt noch der Combofix…

ComboFix 08-04-18.3 - Admin 2008-04-19 13:05:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.117 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
C:\WINDOWS\system\plugin.exe
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx
C:\WINDOWS\system32\mseggrpid.dll
C:\WINDOWS\tmlpcert2005

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SVCHOST


((((((((((((((((((((((( Dateien erstellt von 2008-03-19 bis 2008-04-19 ))))))))))))))))))))))))))))))
.

2008-04-19 12:39 . 2008-04-19 12:54 <DIR> d-------- C:\fixwareout
2008-04-13 14:40 . 2008-04-13 14:39 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-13 14:40 . 2008-04-13 14:40 2,546 --a------ C:\WINDOWS\unins000.dat
2008-04-06 13:42 . 2008-04-06 13:42 313,283 --a------ C:\Programme\cwshredder.zip
2008-04-06 13:28 . 2008-04-06 13:37 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-06 13:28 . 2008-04-06 13:37 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-06 13:27 . 2008-04-06 13:28 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-06 13:27 . 2008-04-19 13:09 2,847,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-06 13:27 . 2008-04-17 11:32 47,904 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-06 13:27 . 2008-04-17 11:32 24,788 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-06 13:27 . 2008-04-17 11:32 6,212 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-06 13:26 . 2008-04-06 13:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
52 Datei(en) . 3,315,090 C:\ComboFix\Bytes
47 Datei(en) . 18,813,017 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-19 10:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-17 10:21 --------- d-----w C:\Programme\Java
2008-04-13 13:17 --------- d-----w C:\Programme\Trillian
2008-04-13 12:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-13 12:43 --------- d-----w C:\Programme\Spybot - Search & Destroy
2007-04-11 18:52 92,064 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdm.sys
2007-04-11 18:52 9,232 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdfl.sys
2007-04-11 18:52 79,328 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmserd.sys
2007-04-11 18:52 66,656 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmbus.sys
2007-04-11 18:52 6,208 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcmnt.sys
2007-04-11 18:52 5,936 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmwhnt.sys
2007-04-11 18:52 4,048 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcr.sys
2007-04-11 18:52 25,600 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermptxp.sys
2007-04-11 18:52 22,768 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermpt.sys
2006-02-28 06:27 145,408 ----a-w C:\Programme\msconfig.exe
2005-11-02 08:02 32,848 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-10-20 12:23 8,192 ----a-w C:\Dokumente und Einstellungen\Admin\test.reg
2005-07-09 01:44 777 ----a-w C:\Programme\trial_setup.ini
2005-02-17 15:06 1,568 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\mpauth.dat
2004-06-28 11:16 91 ----a-w C:\Programme\backup-20040628-131632-520
2004-06-28 11:11 87 ----a-w C:\Programme\backup-20040628-131148-494
2004-06-28 11:11 84 ----a-w C:\Programme\backup-20040628-131148-766
2004-06-28 11:11 73 ----a-w C:\Programme\backup-20040628-131148-952
2004-06-28 11:11 65 ----a-w C:\Programme\backup-20040628-131148-715
2004-06-28 11:11 108 ----a-w C:\Programme\backup-20040628-131148-798
2004-06-27 20:41 77 ----a-w C:\Programme\backup-20040627-224145-707
2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-939
2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-440
2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-618
2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-160
2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-803
2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-243
2004-06-27 19:04 81 ----a-w C:\Programme\backup-20040627-210407-204
2004-06-27 19:04 77 ----a-w C:\Programme\backup-20040627-210407-851
2004-06-27 19:04 74 ----a-w C:\Programme\backup-20040627-210407-432
2004-06-27 19:04 64 ----a-w C:\Programme\backup-20040627-210407-247
2004-06-27 19:04 58 ----a-w C:\Programme\backup-20040627-210407-535
2004-06-27 19:04 57 ----a-w C:\Programme\backup-20040627-210407-336
2004-06-27 19:04 123 ----a-w C:\Programme\backup-20040627-210407-630
2004-06-27 19:04 120 ----a-w C:\Programme\backup-20040627-210407-402
2004-06-25 11:27 775 -c--a-w C:\Programme\backup-20040625-132735-187
2004-06-25 11:27 2,866 ----a-w C:\Programme\backup-20040625-132741-830
2004-06-25 11:27 2,767 ----a-w C:\Programme\backup-20040625-132740-645
2004-06-25 11:27 2,631 ----a-w C:\Programme\backup-20040625-132740-217
2004-06-25 11:27 2,342 ----a-w C:\Programme\backup-20040625-132741-639
2004-06-25 11:27 2,308 ----a-w C:\Programme\backup-20040625-132736-233
2004-06-25 11:27 1,854 ----a-w C:\Programme\backup-20040625-132740-317
2004-06-25 11:27 1,767 ----a-w C:\Programme\backup-20040625-132739-864
2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132742-771
2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132736-747
2004-06-25 11:27 1,228 ----a-w C:\Programme\backup-20040625-132735-962
2004-06-15 08:55 345 ----a-w C:\Programme\backup-20040625-132735-962.inf
2004-06-02 13:30 9,728 ----a-w C:\Programme\backup-20040625-132736-747.dll
2004-06-02 10:04 238 ----a-w C:\Programme\backup-20040625-132736-747.inf
2004-05-10 10:22 238 ----a-w C:\Programme\backup-20040625-132742-771.inf
2004-03-28 01:48 205 ----a-w C:\Programme\backup-20040625-132741-639.inf
2004-03-17 15:36 2,140 ----a-w C:\Programme\backup-20040625-132740-217.inf
2004-01-29 11:55 521,760 ----a-w C:\Programme\backup-20040625-132736-233.dll
2004-01-22 23:08 1,278 ----a-w C:\Programme\INSTALL.LOG
2004-01-20 12:12 520,349 ----a-w C:\Programme\backup-20040625-132739-864.dll
2004-01-19 12:02 107,008 ----a-w C:\Programme\CWShredder.exe
2003-12-08 13:01 933,888 ----a-w C:\Programme\backup-20040625-132741-830.dll
2003-12-08 12:58 3,759 ----a-w C:\Programme\backup-20040625-132741-830.inf
2003-08-25 17:12 1,096 ----a-w C:\Programme\backup-20040625-132740-317.inf
2003-08-25 17:06 115,808 ----a-w C:\Programme\backup-20040625-132740-317.dll
2003-07-25 13:22 434,176 ----a-w C:\Programme\backup-20040625-132740-645.dll
2003-07-25 13:17 1,777 ----a-w C:\Programme\backup-20040625-132740-645.inf
2000-11-15 08:21 178,688 ----a-w C:\Programme\hjsplit.exe
2005-05-13 15:12 217,073 -csha-w C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 -csha-w C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 -csha-w C:\WINDOWS\x2.64.exe
2005-07-14 10:31 27,648 --sha-w C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-w C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-w C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\i420vfw.dll
2005-12-22 18:23 816,640 --sha-w C:\WINDOWS\system32\smab.dll
2005-02-28 11:16 240,128 --sha-w C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 16:53 307200]
"TaskTray"="C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe" [2001-06-29 01:00 163840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-07-20 21:07 7110656]
"nwiz"="nwiz.exe" [2005-07-20 21:07 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-07-20 21:07 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Disc Detector"="C:\Programme\Creative\ShareDLL\CtNotify.exe" [2001-04-02 02:00 191488]
"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 01:00 90112]
"CTStartup"="C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.exe" [2001-06-04 01:00 28672]
"Jet Detection"="C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52 28672]
"SetIcon"="\Program Files\SMSC\Seticon.exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-10 21:03 180269]
"USBDetector"="C:\USBStorage\USBDetector.exe" [2003-04-01 11:33 53248]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"msnappau"="C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" [ ]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-05-04 14:45 78848]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-03-14 19:05 257088 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveSexCam_at]
C:\Program Files\VCom\Dialers\LiveSexCam_at\LiveSexCam_at.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
C:\PROGRA~1\ICQ\ICQNet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2004-05-28 22:22 4882432 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NovaBackup 7 Tray Control]
--a------ 2006-09-30 11:58 421888 C:\Programme\NovaStor\NovaBACKUP\NbkCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pmrr]
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\edla.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSPVideo9]
C:\Programme\pspvideo9\pspVideo9.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 10:54 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]
--------- 2001-07-03 01:30 122880 C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL]
C:\WINDOWS\Downloaded Program Files\bridge.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar]
--------- 2001-07-26 01:00 118784 C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2005-10-10 21:03 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\Programme\Yahoo!\Messenger\ypager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Soulseek\\slsk.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2005-07-25 04:38]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\System32\drivers\SSHDRV86.sys [2005-06-15 15:08]
R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\system32\drivers\e10kx2k.sys [2001-07-13 14:29]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 SaitekPad;deviceX634 driver;C:\WINDOWS\system32\drivers\hidsaitek.sys [2002-05-23 12:17]

.
Inhalt des "geplante Tasks" Ordners
"2007-04-11 18:36:30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-19 13:13:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Disc Detector = C:\Programme\Creative\ShareDLL\CtNotify.exe?P ??X???????????????? C?????Disc Detector?B???A???????A?P ????B???@?$?@?? C?????U?@?????????@?B???A???????A?? ????B???@?????P???$?@?P ????????6~??????????@???????????????????B?????? ????????????????????????????B
CTStartup = C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???6~??6~????????\???\???????$???U?6~??6~\??
?\???????8?`???????7~\???\??????s????\??????s\????&2?A??s?&2???7~???

Scanne versteckte Dateien...


C:\WINDOWS\TEMP\WGANotify.settings 409 bytes
C:\WINDOWS\TEMP\wpa2.tmp 181 bytes
C:\WINDOWS\TEMP\wpdlog00.sqm 320 bytes
C:\WINDOWS\TEMP\~DFE018.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE01C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE01D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE02E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE045.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE056.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE05E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE064.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE067.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE06F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE074.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE079.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE08B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE08E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE430.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE431.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE432.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE434.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE436.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE437.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE439.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE441.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE442.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE444.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE445.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE446.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE447.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE448.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE449.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE44D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE44F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4CA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4D1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4D3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4D5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4DA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4DE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4E3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4F1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4F4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4FB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE500.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE501.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE50E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE51A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE20B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE20F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE215.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE218.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE219.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE21F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE226.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE227.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE229.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE22E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE230.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE234.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE236.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE237.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE23A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE23D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE23F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE242.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE253.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE485.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE486.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE488.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE48B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE48C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE48D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE492.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE494.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE496.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A8.tcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
C:\WINDOWS\TEMP\~DFE4AA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4AD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4AF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4BA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4BF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3A1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3A3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3BA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3BE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3CB.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~138af518c.htp 0 bytes
C:\WINDOWS\TEMP\cch~1bd9d9c0f.htp 0 bytes
C:\WINDOWS\TEMP\cch~1c82cbb84.htp 0 bytes
C:\WINDOWS\TEMP\~DFE108.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE116.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE122.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE127.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE155.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE160.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE166.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE16D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE170.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE17B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE180.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE186.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE18B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE18E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE199.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE19A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE19C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE19F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1A1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1A2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2D9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2E0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2E4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2E8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2EF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2F3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2FA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2FD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2FF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE301.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE302.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE305.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE30C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE310.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE316.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE31C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE31D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE31F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE320.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE322.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE324.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE325.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE32B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE32C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE32E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE330.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE331.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE332.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE334.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE335.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE338.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1AC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1AE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1AF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1B1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1BB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1BD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1C2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1C3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1C5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1D5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1DC.tmp 16384 bcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
C:\WINDOWS\TEMP\~DFE1E9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1EA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1EB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1ED.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1F3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1F4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1FB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE200.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE201.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE203.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE204.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE206.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE207.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE451.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE452.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE453.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE454.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE455.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE456.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE457.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE459.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE45B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE45E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE462.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE463.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE464.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE467.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE468.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE469.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE46D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE46F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE470.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE472.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE476.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE479.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE47C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE47D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE47E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE480.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE482.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE340.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE341.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE342.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE343.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE344.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE345.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE346.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE347.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE348.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE349.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE350.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE351.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE352.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE353.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE354.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE356.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE400.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE403.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE404.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE405.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE406.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE409.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE410.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE414.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE416.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE418.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE419.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE41A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE41D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE41F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE421.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE422.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE424.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE425.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE426.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE428.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE429.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE42B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE42D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE547.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE553.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE55F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE567.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE569.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE578.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE582.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE589.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE591.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE59B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE5A6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE5B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE5F1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE608.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE610.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE628.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE63B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE64E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE668.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE670.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE686.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6C2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6ED.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6F2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE703.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE729.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE75D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE7A3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE808.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFEFEA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0AD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0B5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0C0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0C7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0C8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0CE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0D0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0D6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0DD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0E0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0E6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0E7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0EB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0F2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0F6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0F8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0FD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE100.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~10b85ab5f.htp 0 bytes
C:\WINDOWS\TEMP\cch~10b85b8da.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bb81944.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bb823bd.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bf28695.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bf28f89.htp 0 bytes
C:\WINDOWS\TEMP\cch~10c51f9f6.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cb8e5ad.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e3ff2d0.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e527275d.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e52c082e.htp 0 bytes
C:\WINDOWS\TEMP\~DFE358.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE359.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE360.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE361.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE362.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE363.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE364.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE365.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE366.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE367.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE368.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE369.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE36B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE36D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE36F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE371.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~11c390d70.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3cc73c.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3cd156.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3d2ae7.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3d3400.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3d507e.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c442e27.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c443828.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44579b.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44d067.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44ddc6.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44e6dd.htp 0 bytes
C:\WINDOWS\TEMP\cch~22016621a.htp
C:\WINDOWS\TEMP\cch~220166c96.htp
C:\WINDOWS\TEMP\cch~220198cf0.htp
C:\WINDOWS\TEMP\cch~220199538.htp
C:\WINDOWS\TEMP\cch~22317cd0e.htp
C:\WINDOWS\TEMP\cch~22317d562.htp
C:\WINDOWS\TEMP\cch~223743ae6.htp
C:\WINDOWS\TEMP\cch~2237444c6.htp
C:\WINDOWS\TEMP\cch~11c281962.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c282308.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c283013.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c283a56.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c29ded3.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c29e7f9.htp 0 bytes
C:\WINDOWS\TEMP\cccatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
C:\WINDOWS\TEMP\cch~11c29ff18.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c2aa942.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c2ab2ef.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c35cf38.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c35da6e.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3672b8.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c367ca5.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c37f1ee.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c37fc31.htp 0 bytes
C:\WINDOWS\TEMP\~DFE373.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE374.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE375.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE380.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE383.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE384.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE386.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE389.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE38E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE38F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE392.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE393.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE395.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE396.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE397.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE398.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~9bd460ab.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bd5b74c.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bd9c17f.htp 0 bytes
C:\WINDOWS\TEMP\cch~9be1907a.htp 0 bytes
C:\WINDOWS\TEMP\~DFE3D1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3EA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3ED.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3EE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F6.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~9c61255c.htp 0 bytes
C:\WINDOWS\TEMP\cch~9c66b47c.htp 0 bytes
C:\WINDOWS\TEMP\cch~9c6c3b19.htp 0 bytes
C:\WINDOWS\TEMP\cch~a18ce1ea.htp 0 bytes
C:\WINDOWS\TEMP\cch~a198423d.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc37196.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc76443.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc76d3e.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc7f674.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc838a4.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cd8315e.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cd8d847.htp 0 bytes
C:\WINDOWS\TEMP\cch~10ce1a002.htp 0 bytes
C:\WINDOWS\TEMP\cch~10ce24585.htp 0 bytes
C:\WINDOWS\TEMP\cch~10ceef914.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cef152c.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cf0383a.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cf0a51f.htp 0 bytes
C:\WINDOWS\TEMP\~DFE107.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1A7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE208.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE256.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2D8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE357.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE372.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE399.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3CE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE42F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE450.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE483.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE533.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~18c7aa7b9.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1b737ad.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1b742bd.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1c82bc5.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1cd7cf0.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1f746de.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a6289700.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a670027e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1b9eb26de.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e2095d1.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e228ff5.htp 0 bytes
C:\WINDOWS\TEMP\cch~2c8e27fc.htp 0 bytes
C:\WINDOWS\TEMP\cch~2c956425.htp 0 bytes
C:\WINDOWS\TEMP\~DFE3D2.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~4e55a1e06.htp 0 bytes
C:\WINDOWS\TEMP\cch~75e571ed.htp 0 bytes
C:\WINDOWS\TEMP\cch~391ac562.htp 0 bytes
C:\WINDOWS\TEMP\cch~39733f1c.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e2fd660.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e373f4d.htp 0 bytes
C:\WINDOWS\TEMP\cch~7610c3c6.htp 0 bytes
C:\WINDOWS\TEMP\cch~7610d77d.htp 0 bytes
C:\WINDOWS\TEMP\cch~7780bbdc.htp 0 bytes
C:\WINDOWS\TEMP\cch~77d6c0ef.htp 0 bytes
C:\WINDOWS\TEMP\cch~7838f56c.htp 0 bytes
C:\WINDOWS\TEMP\cch~783b094a.htp 0 bytes
C:\WINDOWS\TEMP\cch~36ebe600.htp 0 bytes
C:\WINDOWS\TEMP\cch~809bda15.htp 0 bytes
C:\WINDOWS\TEMP\cch~809e16b8.htp 0 bytes
C:\WINDOWS\TEMP\cch~783ba6ea.htp 0 bytes
C:\WINDOWS\TEMP\cch~808ae3c7.htp 0 bytes
C:\WINDOWS\TEMP\cch~2c95e876.htp 0 bytes
C:\WINDOWS\TEMP\cch~3913cfbe.htp 0 bytes
C:\WINDOWS\TEMP\cch~397d91a3.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e3af727.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e5349f81.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e55b5b97.htp 0 bytes
C:\WINDOWS\TEMP\cch~760ab73a.htp 0 bytes
C:\WINDOWS\TEMP\cch~761fb3b0.htp 0 bytes
C:\WINDOWS\TEMP\cch~783b3214.htp 0 bytes
C:\WINDOWS\TEMP\cch~80919db1.htp 0 bytes
C:\WINDOWS\TEMP\cch~809e2933.htp 0 bytes
C:\WINDOWS\TEMP\cch~82ffdc09.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bd0e42f.htp 0 bytes
C:\WINDOWS\TEMP\cch~9be9f4db.htp 0 bytes
C:\WINDOWS\TEMP\cch~a19937db.htp 0 bytes
C:\WINDOWS\TEMP\cch~cd56b844.htp 0 bytes
C:\WINDOWS\TEMP\WGAErrLog.txt 255 bytes
C:\WINDOWS\TEMP\cch~82bafd29.htp 0 bytes
C:\WINDOWS\TEMP\cch~11da24d6c.htp 0 bytes
C:\WINDOWS\TEMP\cch~11da25686.htp 0 bytes
C:\WINDOWS\TEMP\cch~9baeede3.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bbdea49.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bcb8ef8.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bcedfa1.htp 0 bytes
C:\WINDOWS\TEMP\cch~cd41e2b9.htp 0 bytes
C:\WINDOWS\TEMP\cch~cd54dc2a.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dbe8313.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dbe8c54.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dd69712.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dd6d7a7.htp 0 bytes
C:\WINDOWS\TEMP\cch~11f3cf1c3.htp 0 bytes
C:\WINDOWS\TEMP\cch~11f3cff36.htp 0 bytes
C:\WINDOWS\TEMP\cch~12fe36df7.htp 0 bytes
C:\WINDOWS\TEMP\cch~12fe376b5.htp 0 bytes
C:\WINDOWS\TEMP\cch~131bdd81b.htp 0 bytes
C:\WINDOWS\TEMP\cch~131bde23b.htp 0 bytes
C:\WINDOWS\TEMP\cch~13266f924.htp 0 bytes
C:\WINDOWS\TEMP\cch~cdc79259.htp 0 bytes
C:\WINDOWS\TEMP\dd_depcheck_NETFX20_EXP_35.txt 21336 bytes
C:\WINDOWS\TEMP\dd_dotnetfx20error.txt 2 bytes
C:\WINDOWS\TEMP\dd_dotnetfx20install.txt 80078 bytes
C:\WINDOWS\TEMP\dd_NET_Framework20_Setup33C8.txt 10125494 bytes
C:\WINDOWS\TEMP\fpRedmon.log 430 bytes
C:\WINDOWS\TEMP\KAV6Upgrade
C:\WINDOWS\TEMP\KAV6Upgrade\lic.dat 1010 bytes
C:\WINDOWS\TEMP\KAV6Upgrade\upgrade.log 12638 bytes
C:\WINDOWS\TEMP\netfxsl.log 25824 bytes
C:\WINDOWS\TEMP\netfxupdate.log 1419 bytes
C:\WINDOWS\TEMP\NetFxUpdate_v1.1.4322.log 7802 bytes
C:\WINDOWS\TEMP\PR158.tmp 1587366704 bytes
C:\WINDOWS\TEMP\PR275.tmp 280494080 bytes executable
C:\WINDOWS\TEMP\uxeventlog.txt 16182 bytes
C:\WINDOWS\TEMP\cch~13279a91a.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327b8f2b.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327b99a5.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327be538.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327beef3.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327c5db1.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327cb736.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327ccd5b.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327d7ff7.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327d8b82.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327ee7ef.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327eea7e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327fc29c.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327fd9b6.htp 0 bytes
C:\WINDOWS\TEMP\cch~132800048.htp 0 bytes
C:\WINDOWS\TEMP\cch~132801d55.htp 0 bytes
C:\WINDOWS\TEMP\cch~1328213e7.htp 0 bytes
C:\WINDOWS\TEMP\cch~1328dc1ab.htp 0 bytes
C:\WINDOWS\TEMP\cch~1328ddfcc.htp 0 bytes
C:\WINDOWS\TEMP\cch~132905fc8.htp 0 bytes
C:\WINDOWS\TEMP\cch~132906a15.htp 0 bytes
C:\WINDOWS\TEMP\cch~13290adbb.htp 0 bytes
C:\WINDOWS\TEMP\cch~13290baf4.htp 0 bytes
C:\WINDOWS\TEMP\cch~13290f2ec.htp 0 bytes
C:\WINDOWS\TEMP\cch~132910584.htp 0 bytes
C:\WINDOWS\TEMP\cch~13292c42a.htp 0 bytes
C:\WINDOWS\TEMP\cch~1329535e2.htp 0 bytes
C:\WINDOWS\TEMP\cch~1329554f3.htp 0 bytes
C:\WINDOWS\TEMP\cch~1366eaf5e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1366eb7fa.htp 0 bytes
C:\WINDOWS\TEMP\cch~13670fc30.htp 0 bytes
C:\WINDOWS\TEMP\cch~13670feff.htp 0 bytes
C:\WINDOWS\TEMP\cch~1367176fc.htp 0 bytes
C:\WINDOWS\TEMP\cch~13671b28c.htp 0 bytes
C:\WINDOWS\TEMP\cch~13672473f.htp 0 bytes
C:\WINDOWS\TEMP\cch~13674e7d3.htp 0 bytes
C:\WINDOWS\TEMP\cch~13675c856.htp 0 bytes
C:\WINDOWS\TEMP\cch~1367ba48f.htp 0 bytes
C:\WINDOWS\TEMP\cch~1367bfa38.htp 0 bytes
C:\WINDOWS\TEMP\cch~136810223.htp 0 bytes
C:\WINDOWS\TEMP\cch~136810b41.htp 0 bytes
C:\WINDOWS\TEMP\cch~136822bd9.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368238ff.htp 0 bytes
C:\WINDOWS\TEMP\cch~136826f72.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368b9567.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368c29e0.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368cad2e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368d05dd.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368d2423.htp 0 bytes
C:\WINDOWS\TEMP\cch~136907a2d.htp 0 bytes
C:\WINDOWS\TEMP\cch~136908336.htp 0 bytes
C:\WINDOWS\TEMP\cch~13692b9e4.htp 0 bytes
C:\WINDOWS\TEMP\cch~13692d253.htp 0 bytes
C:\WINDOWS\TEMP\cch~136952e0c.htp 0 bytes
C:\WINDOWS\TEMP\cch~13695412a.htp 0 bytes
C:\WINDOWS\TEMP\cch~136956c30.htp 0 bytes
C:\WINDOWS\TEMP\cch~136960a64.htp 0 bytes
C:\WINDOWS\TEMP\cch~13696126b.htp 0 bytes
C:\WINDOWS\TEMP\cch~136961f08.htp 0 bytes
C:\WINDOWS\TEMP\cch~136963536.htp 0 bytes
C:\WINDOWS\TEMP\cch~21a72c713.htp 8192 bytes
C:\WINDOWS\TEMP\cch~1bd9f4518.htp 0 bytes
C:\WINDOWS\TEMP\cch~1c82cb213.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc36444.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e1ee6b1.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e22a1af.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c390342.htp 0 bytes
C:\WINDOWS\TEMP\cch~11d963632.htp 0 bytes
C:\WINDOWS\TEMP\cch~11db34b30.htp 0 bytes
C:\WINDOWS\TEMP\cch~132670208.htp 0 bytes
C:\WINDOWS\TEMP\cch~132820abe.htp 0 bytes
C:\WINDOWS\TEMP\cch~136716e14.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368d11d3.htp 0 bytes
C:\WINDOWS\TEMP\cch~21bb5ac01.htp 8192 bytes
C:\WINDOWS\TEMP\cch~23b61fc6c.htp 0 bytes
C:\WINDOWS\TEMP\cch~20fc601a5.htp
C:\WINDOWS\TEMP\cch~26aee16a7.htp 8192 bytes
C:\WINDOWS\TEMP\~DFE0AC.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~138959a0f.htp 0 bytes
C:\WINDOWS\TEMP\cch~13898577b.htp 0 bytes
C:\WINDOWS\TEMP\cch~138994d5c.htp 0 bytes
C:\WINDOWS\TEMP\cch~1389f7328.htp 0 bytes
C:\WINDOWS\TEMP\cch~138a67638.htp 0 bytes
C:\WINDOWS\TEMP\cch~138b17e76.htp 0 bytes
C:\WINDOWS\TEMP\cch~138b56322.htp 0 bytes
C:\WINDOWS\TEMP\cch~138b58038.htp 0 bytes
C:\WINDOWS\TEMP\cch~13a20e2b9.htp 0 bytes
C:\WINDOWS\TEMP\cch~1c8538b60.htp 0 bytes
C:\WINDOWS\TEMP\cch~26aee0938.htp 8192 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 662

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ctsvccda.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
C:\Programme\Creative\ShareDLL\Mediadet.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\cscript.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-19 13:20:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-19 11:20:14

15 Verzeichnis(se), 7,513,153,536 Bytes frei
17 Verzeichnis(se), 7,421,358,080 Bytes frei

904 --- E O F --- 2008-04-16 05:01:09

#6 Hallo,

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\Programme\msconfig.exe
C:\Programme\hjsplit.exe
C:\WINDOWS\system32\cscript.exe
C:\WINDOWS\system32\Ctsvccda.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren


2.
cleaner anwenden
http://www.ccleaner.de/?protecus.de

3.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

4.
scanne mit sdfix im abgesicherten Modus + poste dann hier den report
http://virus-protect.org/artikel/tools/sdfix.html

5.
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html

6.
poste ein neues Log vom HijackThis


«
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,

1.)
C:\Programme\msconfig.exe
MD5: c574151933a88e69ee08ce6ad0ac37b4
First received: -
Datum 2008.04.20 00:23:41 (CET) [<1D]
Ergebnisse 0/32
Permalink: analisis/058b206379b126022306bb46d92855df

C:\Programme\hjsplit.exe
MD5: 51fa95185555406f2126345578f6ffe4
First received: 2006.05.22 15:34:08 (CET)
Datum 2008.03.31 09:27:11 (CET) [>19D]
Ergebnisse 3/32
Permalink: analisis/fea04f1361b92126972d08d4ff91369e

C:\WINDOWS\system32\cscript.exe
MD5: ee1f8828849acdef60e7df9c25a715ab
First received: -
Datum 2008.04.08 15:43:19 (CET) [>11D]
Ergebnisse 0/32
Permalink: analisis/c497df3c6b89c920d34110c81595d429

C:\WINDOWS\system32\Ctsvccda.exe
MD5: 3c8b6609712f4ff78e521f6dcfc4032b
First received: -
Datum 2008.04.11 05:03:35 (CET) [>8D]
Ergebnisse 0/32
Permalink: analisis/16b5baaa0035285fd42c7842f58b4541

2.)
Angegebenen Cleaner hab ich durchlaufen lassen - rund 120MB entfernt

3.)
Combofix wie beschrieben deinstalliert...

4.)
Habe mit SDFix einen Scan im abgesicherten Modus (Minimal ohne Netzwerk) gestartet, allerdings kommt (nachdem ich mit y und enter den scan gestartet hab) nur einige Zeilen an...."das System kann den angegebenen Pfad nicht finden"

das wars mehr nicht (dauert nchtmal 5 Sekunden)

5.)
hier der neue combofix log

ComboFix 08-04-18.3 - Admin 2008-04-20 1:07:15.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.258 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-19 bis 2008-04-19 ))))))))))))))))))))))))))))))
.

2008-04-20 00:31 . 2008-04-20 00:39 <DIR> d-------- C:\SDFix
2008-04-20 00:23 . 2008-04-20 00:23 <DIR> d-------- C:\Programme\CCleaner
2008-04-19 12:39 . 2008-04-19 13:51 <DIR> d-------- C:\fixwareout
2008-04-13 14:40 . 2008-04-13 14:39 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-13 14:40 . 2008-04-13 14:40 2,546 --a------ C:\WINDOWS\unins000.dat
2008-04-06 13:42 . 2008-04-06 13:42 313,283 --a------ C:\Programme\cwshredder.zip
2008-04-06 13:28 . 2008-04-06 13:37 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-06 13:28 . 2008-04-06 13:37 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-06 13:27 . 2008-04-06 13:28 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-04-06 13:27 . 2008-04-19 14:30 2,847,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-06 13:27 . 2008-04-19 14:30 47,904 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-06 13:27 . 2008-04-19 14:30 25,172 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-06 13:27 . 2008-04-19 14:30 6,404 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-06 13:26 . 2008-04-06 13:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
52 Datei(en) . 3,315,090 C:\ComboFix\Bytes
47 Datei(en) . 18,162,777 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-19 23:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-04-17 10:21 --------- d-----w C:\Programme\Java
2008-04-13 13:17 --------- d-----w C:\Programme\Trillian
2008-04-13 12:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-13 12:43 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-04-11 18:52 92,064 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdm.sys
2007-04-11 18:52 9,232 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdfl.sys
2007-04-11 18:52 79,328 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmserd.sys
2007-04-11 18:52 66,656 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmbus.sys
2007-04-11 18:52 6,208 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcmnt.sys
2007-04-11 18:52 5,936 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmwhnt.sys
2007-04-11 18:52 4,048 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcr.sys
2007-04-11 18:52 25,600 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermptxp.sys
2007-04-11 18:52 22,768 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermpt.sys
2006-02-28 06:27 145,408 ----a-w C:\Programme\msconfig.exe
2005-11-02 08:02 32,848 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-10-20 12:23 8,192 ----a-w C:\Dokumente und Einstellungen\Admin\test.reg
2005-07-09 01:44 777 ----a-w C:\Programme\trial_setup.ini
2005-02-17 15:06 1,568 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\mpauth.dat
2004-06-28 11:16 91 ----a-w C:\Programme\backup-20040628-131632-520
2004-06-28 11:11 87 ----a-w C:\Programme\backup-20040628-131148-494
2004-06-28 11:11 84 ----a-w C:\Programme\backup-20040628-131148-766
2004-06-28 11:11 73 ----a-w C:\Programme\backup-20040628-131148-952
2004-06-28 11:11 65 ----a-w C:\Programme\backup-20040628-131148-715
2004-06-28 11:11 108 ----a-w C:\Programme\backup-20040628-131148-798
2004-06-27 20:41 77 ----a-w C:\Programme\backup-20040627-224145-707
2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-939
2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-440
2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-618
2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-160
2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-803
2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-243
2004-06-27 19:04 81 ----a-w C:\Programme\backup-20040627-210407-204
2004-06-27 19:04 77 ----a-w C:\Programme\backup-20040627-210407-851
2004-06-27 19:04 74 ----a-w C:\Programme\backup-20040627-210407-432
2004-06-27 19:04 64 ----a-w C:\Programme\backup-20040627-210407-247
2004-06-27 19:04 58 ----a-w C:\Programme\backup-20040627-210407-535
2004-06-27 19:04 57 ----a-w C:\Programme\backup-20040627-210407-336
2004-06-27 19:04 123 ----a-w C:\Programme\backup-20040627-210407-630
2004-06-27 19:04 120 ----a-w C:\Programme\backup-20040627-210407-402
2004-06-25 11:27 775 -c--a-w C:\Programme\backup-20040625-132735-187
2004-06-25 11:27 2,866 ----a-w C:\Programme\backup-20040625-132741-830
2004-06-25 11:27 2,767 ----a-w C:\Programme\backup-20040625-132740-645
2004-06-25 11:27 2,631 ----a-w C:\Programme\backup-20040625-132740-217
2004-06-25 11:27 2,342 ----a-w C:\Programme\backup-20040625-132741-639
2004-06-25 11:27 2,308 ----a-w C:\Programme\backup-20040625-132736-233
2004-06-25 11:27 1,854 ----a-w C:\Programme\backup-20040625-132740-317
2004-06-25 11:27 1,767 ----a-w C:\Programme\backup-20040625-132739-864
2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132742-771
2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132736-747
2004-06-25 11:27 1,228 ----a-w C:\Programme\backup-20040625-132735-962
2004-06-15 08:55 345 ----a-w C:\Programme\backup-20040625-132735-962.inf
2004-06-02 13:30 9,728 ----a-w C:\Programme\backup-20040625-132736-747.dll
2004-06-02 10:04 238 ----a-w C:\Programme\backup-20040625-132736-747.inf
2004-05-10 10:22 238 ----a-w C:\Programme\backup-20040625-132742-771.inf
2004-03-28 01:48 205 ----a-w C:\Programme\backup-20040625-132741-639.inf
2004-03-17 15:36 2,140 ----a-w C:\Programme\backup-20040625-132740-217.inf
2004-01-29 11:55 521,760 ----a-w C:\Programme\backup-20040625-132736-233.dll
2004-01-22 23:08 1,278 ----a-w C:\Programme\INSTALL.LOG
2004-01-20 12:12 520,349 ----a-w C:\Programme\backup-20040625-132739-864.dll
2004-01-19 12:02 107,008 ----a-w C:\Programme\CWShredder.exe
2003-12-08 13:01 933,888 ----a-w C:\Programme\backup-20040625-132741-830.dll
2003-12-08 12:58 3,759 ----a-w C:\Programme\backup-20040625-132741-830.inf
2003-08-25 17:12 1,096 ----a-w C:\Programme\backup-20040625-132740-317.inf
2003-08-25 17:06 115,808 ----a-w C:\Programme\backup-20040625-132740-317.dll
2003-07-25 13:22 434,176 ----a-w C:\Programme\backup-20040625-132740-645.dll
2003-07-25 13:17 1,777 ----a-w C:\Programme\backup-20040625-132740-645.inf
2000-11-15 08:21 178,688 ----a-w C:\Programme\hjsplit.exe
2005-05-13 15:12 217,073 -csha-w C:\WINDOWS\meta4.exe
2005-10-24 09:13 66,560 -csha-w C:\WINDOWS\MOTA113.exe
2005-10-13 19:27 422,400 -csha-w C:\WINDOWS\x2.64.exe
2005-07-14 10:31 27,648 --sha-w C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 13:32 616,448 --sha-w C:\WINDOWS\system32\cygwin1.dll
2005-06-21 20:37 45,568 --sha-w C:\WINDOWS\system32\cygz.dll
2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\i420vfw.dll
2005-12-22 18:23 816,640 --sha-w C:\WINDOWS\system32\smab.dll
2005-02-28 11:16 240,128 --sha-w C:\WINDOWS\system32\x.264.exe
2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 16:53 307200]
"TaskTray"="C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe" [2001-06-29 01:00 163840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-07-20 21:07 7110656]
"nwiz"="nwiz.exe" [2005-07-20 21:07 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-07-20 21:07 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Disc Detector"="C:\Programme\Creative\ShareDLL\CtNotify.exe" [2001-04-02 02:00 191488]
"UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 01:00 90112]
"CTStartup"="C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.exe" [2001-06-04 01:00 28672]
"Jet Detection"="C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52 28672]
"SetIcon"="\Program Files\SMSC\Seticon.exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-10 21:03 180269]
"USBDetector"="C:\USBStorage\USBDetector.exe" [2003-04-01 11:33 53248]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320]
"msnappau"="C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" [ ]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-05-04 14:45 78848]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-03-14 19:05 257088 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveSexCam_at]
C:\Program Files\VCom\Dialers\LiveSexCam_at\LiveSexCam_at.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
C:\PROGRA~1\ICQ\ICQNet.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2004-05-28 22:22 4882432 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NovaBackup 7 Tray Control]
--a------ 2006-09-30 11:58 421888 C:\Programme\NovaStor\NovaBACKUP\NbkCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pmrr]
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\edla.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSPVideo9]
C:\Programme\pspvideo9\pspVideo9.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 10:54 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter]
--------- 2001-07-03 01:30 122880 C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL]
C:\WINDOWS\Downloaded Program Files\bridge.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar]
--------- 2001-07-26 01:00 118784 C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2005-10-10 21:03 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\Programme\Yahoo!\Messenger\ypager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Soulseek\\slsk.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2005-07-25 04:38]
R1 SSHDRV86;SSHDRV86;C:\WINDOWS\System32\drivers\SSHDRV86.sys [2005-06-15 15:08]
R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\system32\drivers\e10kx2k.sys [2001-07-13 14:29]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 SaitekPad;deviceX634 driver;C:\WINDOWS\system32\drivers\hidsaitek.sys [2002-05-23 12:17]

.
Inhalt des "geplante Tasks" Ordners
"2007-04-11 18:36:30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-20 01:11:08
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Disc Detector = C:\Programme\Creative\ShareDLL\CtNotify.exe?P ??X???????????????? C?????Disc Detector?B???A???????A?? ????B???@?$?@?? C?????U?@?????????@?B???A???????A?? ????B???@?????P???$?@?P ????????6~??????????@???????????????????B?????? ???????????????????`????????B
CTStartup = C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???6~??6~????????
\???\???????$???U?6~??6~\???
\?????????_???????7~\???\??????s????\??????s\????&2?A??s?&2???7~???

Scanne versteckte Dateien...


C:\WINDOWS\TEMP\WGANotify.settings 409 bytes
C:\WINDOWS\TEMP\wpa2.tmp 181 bytes
C:\WINDOWS\TEMP\wpdlog00.sqm 320 bytes
C:\WINDOWS\TEMP\~DFE018.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE01C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE01D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE02E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE045.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE056.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE05E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE064.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE067.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE06F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE074.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE079.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE08B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE08E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE430.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE431.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE432.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE434.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE436.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE437.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE439.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE43E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE441.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE442.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE444.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE445.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE446.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE447.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE448.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE449.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE44D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE44F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4CA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4D1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4D3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4D5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4DA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4DE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4E3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4EF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4F1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4F4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4FB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE500.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE501.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE50E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE51A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE20B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE20F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE215.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE218.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE219.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE21F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE226.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE227.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE229.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE22E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE230.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE234.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE236.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE237.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE23A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE23D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE23F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE242.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE253.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE485.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE486.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE488.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE48B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE48C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE48D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE492.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE494.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE496.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE49F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4A8.tcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
C:\WINDOWS\TEMP\~DFE4AA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4AD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4AF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4BA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4BF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE39E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3A1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3A3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3AF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3B9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3BA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3BE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3C9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3CB.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~138af518c.htp 0 bytes
C:\WINDOWS\TEMP\cch~1bd9d9c0f.htp 0 bytes
C:\WINDOWS\TEMP\cch~1c82cbb84.htp 0 bytes
C:\WINDOWS\TEMP\~DFE108.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE116.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE122.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE127.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE155.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE160.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE166.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE16D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE170.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE17B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE180.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE186.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE18B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE18E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE199.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE19A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE19C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE19F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1A1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1A2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2D9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2E0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2E4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2E8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2EF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2F3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2FA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2FD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2FF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE301.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE302.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE305.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE30C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE310.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE316.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE31C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE31D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE31F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE320.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE322.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE324.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE325.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE32B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE32C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE32E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE330.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE331.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE332.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE334.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE335.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE338.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1AC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1AE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1AF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1B1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1BB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1BD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1C2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1C3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1C5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1D5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1DC.tmp 16384 bcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
C:\WINDOWS\TEMP\~DFE1E9.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1EA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1EB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1ED.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1F3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1F4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1FB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE200.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE201.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE203.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE204.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE206.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE207.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE451.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE452.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE453.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE454.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE455.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE456.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE457.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE459.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE45B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE45E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE462.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE463.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE464.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE467.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE468.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE469.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE46D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE46F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE470.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE472.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE476.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE479.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE47C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE47D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE47E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE480.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE482.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE340.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE341.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE342.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE343.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE344.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE345.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE346.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE347.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE348.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE349.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE34F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE350.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE351.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE352.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE353.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE354.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE356.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3FF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE400.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE403.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE404.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE405.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE406.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE409.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE40F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE410.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE414.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE416.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE418.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE419.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE41A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE41D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE41F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE421.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE422.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE424.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE425.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE426.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE428.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE429.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE42B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE42D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE547.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE553.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE55F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE567.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE569.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE578.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE582.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE589.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE591.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE59B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE5A6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE5B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE5F1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE608.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE610.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE628.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE63B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE64E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE668.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE670.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE686.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6B7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6C2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6ED.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE6F2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE703.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE729.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE75D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE7A3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE808.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFEFEA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0AD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0B5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0C0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0C7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0C8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0CE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0D0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0D6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0DD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0E0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0E6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0E7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0EB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0F2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0F6.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0F8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE0FD.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE100.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~10b85ab5f.htp 0 bytes
C:\WINDOWS\TEMP\cch~10b85b8da.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bb81944.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bb823bd.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bf28695.htp 0 bytes
C:\WINDOWS\TEMP\cch~10bf28f89.htp 0 bytes
C:\WINDOWS\TEMP\cch~10c51f9f6.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cb8e5ad.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e3ff2d0.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e527275d.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e52c082e.htp 0 bytes
C:\WINDOWS\TEMP\~DFE358.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE359.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35C.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE35F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE360.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE361.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE362.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE363.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE364.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE365.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE366.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE367.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE368.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE369.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE36B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE36D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE36F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE371.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~11c390d70.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3cc73c.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3cd156.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3d2ae7.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3d3400.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3d507e.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c442e27.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c443828.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44579b.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44d067.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44ddc6.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c44e6dd.htp 0 bytes
C:\WINDOWS\TEMP\cch~22016621a.htp
C:\WINDOWS\TEMP\cch~220166c96.htp
C:\WINDOWS\TEMP\cch~220198cf0.htp
C:\WINDOWS\TEMP\cch~220199538.htp
C:\WINDOWS\TEMP\cch~22317cd0e.htp
C:\WINDOWS\TEMP\cch~22317d562.htp
C:\WINDOWS\TEMP\cch~223743ae6.htp
C:\WINDOWS\TEMP\cch~2237444c6.htp
C:\WINDOWS\TEMP\cch~11c281962.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c282308.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c283013.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c283a56.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c29ded3.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c29e7f9.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c29f5c0.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c29ff18.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c2aa942.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c2ab2ef.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c35cf38.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c35da6e.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c3672b8.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c367ca5.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c37f1ee.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c37fc31.htp 0 bytes
C:\WINDOWS\TEMP\~DFE373.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE374.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE375.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37A.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37B.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37D.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE37F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE380.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE383.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE384.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE386.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE389.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE38E.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE38F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE392.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE393.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE395.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE396.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE397.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE398.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~9bd460ab.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bd5b74c.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bd9c17f.htp 0 bytes
C:\WINDOWS\TEMP\cch~9be1907a.htp 0 bytes
C:\WINDOWS\TEMP\~DFE3D1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DB.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3DF.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E1.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E4.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E5.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3E8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3EA.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3EC.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3ED.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3EE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F0.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F3.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F6.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~9c61255c.htp 0 bytes
C:\WINDOWS\TEMP\cch~9c66b47c.htp 0 bytes
C:\WINDOWS\TEMP\cch~9c6c3b19.htp 0 bytes
C:\WINDOWS\TEMP\cch~a18ce1ea.htp 0 bytes
C:\WINDOWS\TEMP\cch~a198423d.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc37196.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc76443.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc76d3e.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc7f674.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc838a4.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cd8315e.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cd8d847.htp 0 bytes
C:\WINDOWS\TEMP\cch~10ce1a002.htp 0 bytes
C:\WINDOWS\TEMP\cch~10ce24585.htp 0 bytes
C:\WINDOWS\TEMP\cch~10ceef914.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cef152c.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cf0383a.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cf0a51f.htp 0 bytes
C:\WINDOWS\TEMP\~DFE107.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE1A7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE208.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE256.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE2D8.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE33F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE357.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE372.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE399.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3CE.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE3F7.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE42F.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE450.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE483.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE4C2.tmp 16384 bytes
C:\WINDOWS\TEMP\~DFE533.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~18c7aa7b9.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1b737ad.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1b742bd.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1c82bc5.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1cd7cf0.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a1f746de.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a6289700.htp 0 bytes
C:\WINDOWS\TEMP\cch~1a670027e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1b9eb26de.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e2095d1.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e228ff5.htp 0 bytes
C:\WINDOWS\TEMP\cch~2c8e27fc.htp 0 bytes
C:\WINDOWS\TEMP\cch~2c956425.htp 0 bytes
C:\WINDOWS\TEMP\~DFE3D2.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~4e55a1e06.htp 0 bytes
C:\WINDOWS\TEMP\cch~75e571ed.htp 0 bytes
C:\WINDOWS\TEMP\cch~391ac562.htp 0 bytes
C:\WINDOWS\TEMP\cch~39733f1c.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e2fd660.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e373f4d.htp 0 bytes
C:\WINDOWS\TEMP\cch~7610c3c6.htp 0 bytes
C:\WINDOWS\TEMP\cch~7610d77d.htp 0 bytes
C:\WINDOWS\TEMP\cch~7780bbdc.htp 0 bytes
C:\WINDOWS\TEMP\cch~77d6c0ef.htp 0 bytes
C:\WINDOWS\TEMP\cch~7838f56c.htp 0 bytes
C:\WINDOWS\TEMP\cch~783b094a.htp 0 bytes
C:\WINDOWS\TEMP\cch~36ebe600.htp 0 bytes
C:\WINDOWS\TEMP\cch~809bda15.htp 0 bytes
C:\WINDOWS\TEMP\cch~809e16b8.htp 0 bytes
C:\WINDOWS\TEMP\cch~783ba6ea.htp 0 bytes
C:\WINDOWS\TEMP\cch~808ae3c7.htp 0 bytes
C:\WINDOWS\TEMP\cch~2c95e876.htp 0 bytes
C:\WINDOWS\TEMP\cch~3913cfbe.htp 0 bytes
C:\WINDOWS\TEMP\cch~397d91a3.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e3af727.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e5349f81.htp 0 bytes
C:\WINDOWS\TEMP\cch~4e55b5b97.htp 0 bytes
C:\WINDOWS\TEMP\cch~760ab73a.htp 0 bytes
C:\WINDOWS\TEMP\cch~761fb3b0.htp 0 bytes
C:\WINDOWS\TEMP\cch~783b3214.htp 0 bytes
C:\WINDOWS\TEMP\cch~80919db1.htp 0 bytes
C:\WINDOWS\TEMP\cch~809e2933.htp 0 bytes
C:\WINDOWS\TEMP\cch~82ffdc09.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bd0e42f.htp 0 bytes
C:\WINDOWS\TEMP\cch~9be9f4db.htp 0 bytes
C:\WINDOWS\TEMP\cch~a19937db.htp 0 bytes
C:\WINDOWS\TEMP\cch~cd56b844.htp 0 bytes
C:\WINDOWS\TEMP\WGAErrLog.txt 255 bytes
C:\WINDOWS\TEMP\cch~82bafd29.htp 0 bytes
C:\WINDOWS\TEMP\cch~11da24d6c.htp 0 bytes
C:\WINDOWS\TEMP\cch~11da25686.htp 0 bytes
C:\WINDOWS\TEMP\cch~9baeede3.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bbdea49.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bcb8ef8.htp 0 bytes
C:\WINDOWS\TEMP\cch~9bcedfa1.htp 0 bytes
C:\WINDOWS\TEMP\cch~cd41e2b9.htp 0 bytes
C:\WINDOWS\TEMP\cch~cd54dc2a.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dbe8313.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dbe8c54.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dd69712.htp 0 bytes
C:\WINDOWS\TEMP\cch~11dd6d7a7.htp 0 bytes
C:\WINDOWS\TEMP\cch~11f3cf1c3.htp 0 bytes
C:\WINDOWS\TEMP\cch~11f3cff36.htp 0 bytes
C:\WINDOWS\TEMP\cch~12fe36df7.htp 0 bytes
C:\WINDOWS\TEMP\cch~12fe376b5.htp 0 bytes
C:\WINDOWS\TEMP\cch~131bdd81b.htp 0 bytes
C:\WINDOWS\TEMP\cch~131bde23b.htp 0 bytes
C:\WINDOWS\TEMP\cch~13266f924.htp 0 bytes
C:\WINDOWS\TEMP\cch~cdc79259.htp 0 bytes
C:\WINDOWS\TEMP\dd_depcheck_NETFX20_EXP_35.txt 21336 bytes
C:\WINDOWS\TEMP\dd_dotnetfx20error.txt 2 bytes
C:\WINDOWS\TEMP\dd_dotnetfx20install.txt 80078 bytes
C:\WINDOWS\TEMP\dd_NET_Framework20_Setup33C8.txt 10125494 bytes
C:\WINDOWS\TEMP\fpRedmon.log 430 bytes
C:\WINDOWS\TEMP\KAV6Upgrade
C:\WINDOWS\TEMP\KAV6Upgrade\lic.dat 1010 bytes
C:\WINDOWS\TEMP\KAV6Upgrade\upgrade.log 12638 bytes
C:\WINDOWS\TEMP\netfxsl.log 25824 bytes
C:\WINDOWS\TEMP\netfxupdate.log 1419 bytes
C:\WINDOWS\TEMP\NetFxUpdate_v1.1.4322.log 7802 bytes
C:\WINDOWS\TEMP\PR158.tmp 1587366704 bytes
C:\WINDOWS\TEMP\PR275.tmp 280494080 bytes executable
C:\WINDOWS\TEMP\uxeventlog.txt 16182 bytes
C:\WINDOWS\TEMP\cch~13279a91a.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327b8f2b.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327b99a5.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327be538.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327beef3.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327c5db1.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327cb736.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327ccd5b.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327d7ff7.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327d8b82.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327ee7ef.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327eea7e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327fc29c.htp 0 bytes
C:\WINDOWS\TEMP\cch~1327fd9b6.htp 0 bytes
C:\WINDOWS\TEMP\cch~132800048.htp 0 bytes
C:\WINDOWS\TEMP\cch~132801d55.htp 0 bytes
C:\WINDOWS\TEMP\cch~1328213e7.htp 0 bytes
C:\WINDOWS\TEMP\cch~1328dc1ab.htp 0 bytes
C:\WINDOWS\TEMP\cch~1328ddfcc.htp 0 bytes
C:\WINDOWS\TEMP\cch~132905fc8.htp 0 bytes
C:\WINDOWS\TEMP\cch~132906a15.htp 0 bytes
C:\WINDOWS\TEMP\cch~13290adbb.htp 0 bytes
C:\WINDOWS\TEMP\cch~13290baf4.htp 0 bytes
C:\WINDOWS\TEMP\cch~13290f2ec.htp 0 bytes
C:\WINDOWS\TEMP\cch~132910584.htp 0 bytes
C:\WINDOWS\TEMP\cch~13292c42a.htp 0 bytes
C:\WINDOWS\TEMP\cch~1329535e2.htp 0 bytes
C:\WINDOWS\TEMP\cch~1329554f3.htp 0 bytes
C:\WINDOWS\TEMP\cch~1366eaf5e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1366eb7fa.htp 0 bytes
C:\WINDOWS\TEMP\cch~13670fc30.htp 0 bytes
C:\WINDOWS\TEMP\cch~13670feff.htp 0 bytes
C:\WINDOWS\TEMP\cch~1367176fc.htp 0 bytes
C:\WINDOWS\TEMP\cch~13671b28c.htp 0 bytes
C:\WINDOWS\TEMP\cch~13672473f.htp 0 bytes
C:\WINDOWS\TEMP\cch~13674e7d3.htp 0 bytes
C:\WINDOWS\TEMP\cch~13675c856.htp 0 bytes
C:\WINDOWS\TEMP\cch~1367ba48f.htp 0 bytes
C:\WINDOWS\TEMP\cch~1367bfa38.htp 0 bytes
C:\WINDOWS\TEMP\cch~136810223.htp 0 bytes
C:\WINDOWS\TEMP\cch~136810b41.htp 0 bytes
C:\WINDOWS\TEMP\cch~136822bd9.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368238ff.htp 0 bytes
C:\WINDOWS\TEMP\cch~136826f72.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368b9567.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368c29e0.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368cad2e.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368d05dd.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368d2423.htp 0 bytes
C:\WINDOWS\TEMP\cch~136907a2d.htp 0 bytes
C:\WINDOWS\TEMP\cch~136908336.htp 0 bytes
C:\WINDOWS\TEMP\cch~13692b9e4.htp 0 bytes
C:\WINDOWS\TEMP\cch~13692d253.htp 0 bytes
C:\WINDOWS\TEMP\cch~136952e0c.htp 0 bytes
C:\WINDOWS\TEMP\cch~13695412a.htp 0 bytes
C:\WINDOWS\TEMP\cch~136956c30.htp 0 bytes
C:\WINDOWS\TEMP\cch~136960a64.htp 0 bytes
C:\WINDOWS\TEMP\cch~13696126b.htp 0 bytes
C:\WINDOWS\TEMP\cch~136961f08.htp 0 bytes
C:\WINDOWS\TEMP\cch~136963536.htp 0 bytes
C:\WINDOWS\TEMP\cch~21a72c713.htp 8192 bytes
C:\WINDOWS\TEMP\cch~1bd9f4518.htp 0 bytes
C:\WINDOWS\TEMP\cch~1c82cb213.htp 0 bytes
C:\WINDOWS\TEMP\cch~10cc36444.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e1ee6b1.htp 0 bytes
C:\WINDOWS\TEMP\cch~10e22a1af.htp 0 bytes
C:\WINDOWS\TEMP\cch~11c390342.htp 0 bytes
C:\WINDOWS\TEMP\cch~11d963632.htp 0 bytes
C:\WINDOWS\TEMP\cch~11db34b30.htp 0 bytes
C:\WINDOWS\TEMP\cch~132670208.htp 0 bytes
C:\WINDOWS\TEMP\cch~132820abe.htp 0 bytes
C:\WINDOWS\TEMP\cch~136716e14.htp 0 bytes
C:\WINDOWS\TEMP\cch~1368d11d3.htp 0 bytes
C:\WINDOWS\TEMP\cch~21bb5ac01.htp 8192 bytes
C:\WINDOWS\TEMP\cch~23b61fc6c.htp 0 bytes
C:\WINDOWS\TEMP\cch~20fc601a5.htp
C:\WINDOWS\TEMP\cch~26aee16a7.htp 8192 bytes
C:\WINDOWS\TEMP\~DFE0AC.tmp 16384 bytes
C:\WINDOWS\TEMP\cch~138959a0f.htp 0 bytes
C:\WINDOWS\TEMP\cch~13898577b.htp 0 bytes
C:\WINDOWS\TEMP\cch~138994d5c.htp 0 bytes
C:\WINDOWS\TEMP\cch~1389f7328.htp 0 bytes
C:\WINDOWS\TEMP\cch~138a67638.htp 0 bytes
C:\WINDOWS\TEMP\cch~138b17e76.htp 0 bytes
C:\WINDOWS\TEMP\cch~138b56322.htp 0 bytes
C:\WINDOWS\TEMP\cch~138b58038.htp 0 bytes
C:\WINDOWS\TEMP\cch~13a20e2b9.htp 0 bytes
C:\WINDOWS\TEMP\cch~1c8538b60.htp 0 bytes
C:\WINDOWS\TEMP\cch~26aee0938.htp 8192 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 662

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-20 1:13:49
ComboFix-quarantined-files.txt 2008-04-19 23:13:19
ComboFix2.txt 2008-04-19 11:44:23

16 Verzeichnis(se), 8,625,213,440 Bytes frei
18 Verzeichnis(se), 8,603,570,176 Bytes frei

884 --- E O F --- 2008-04-16 05:01:09


6.)
hier der neue HiJackThis Log...

Logfile of HijackThis v1.99.1
Scan saved at 01:37:03, on 20.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\USBStorage\USBDetector.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SetIcon] \Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.gamers.at
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129803779734
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#8 ««
wird die comaloc.dll noch gefunden ?

««
damit kann ich nix anfangen, du musst die Ergebnisse direkt abkopieren !!

Zitat

C:\Programme\msconfig.exe
MD5: c574151933a88e69ee08ce6ad0ac37b4
First received: -
Datum 2008.04.20 00:23:41 (CET) [<1D]
Ergebnisse 0/32
Permalink: analisis/058b206379b126022306bb46d92855df

C:\Programme\hjsplit.exe
MD5: 51fa95185555406f2126345578f6ffe4
First received: 2006.05.22 15:34:08 (CET)
Datum 2008.03.31 09:27:11 (CET) [>19D]
Ergebnisse 3/32
Permalink: analisis/fea04f1361b92126972d08d4ff91369e

C:\WINDOWS\system32\cscript.exe
MD5: ee1f8828849acdef60e7df9c25a715ab
First received: -
Datum 2008.04.08 15:43:19 (CET) [>11D]
Ergebnisse 0/32
Permalink: analisis/c497df3c6b89c920d34110c81595d429

Die ctsvccda / ctsvccda.exe ist ein Programm der Firma "Creative." Sie wird im Allgemeinen bei der Treiber- und/oder Applikations--Installation einer "Creative-Soundkarte" mit installiert.

brauchst du nicht mehr prüfen zu lassen:
C:\WINDOWS\system32\Ctsvccda.exe
MD5: 3c8b6609712f4ff78e521f6dcfc4032b
First received: -
Datum 2008.04.11 05:03:35 (CET) [>8D]
Ergebnisse 0/32
Permalink: analisis/16b5baaa0035285fd42c7842f58b4541

__________
MfG Sabina

rund um die PC-Sicherheit

#9 ja die wird immer noch gefunden.
Kann Kaspersky noch immer nicht starten, deswegen hab ichs im abgesicherten Modus versucht und eben da findet er die datei noch immer als trojanisches pferd.

hab die dateien jetzt analysieren lassen von der seite, hoffe du meinst das - hier die ergebnisse...

Datei msconfig.exe empfangen 2008.04.20 13:23:53 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.19 -
Avast 4.8.1169.0 2008.04.19 -
AVG 7.5.0.516 2008.04.19 -
BitDefender 7.2 2008.04.20 -
CAT-QuickHeal 9.50 2008.04.19 -
ClamAV 0.92.1 2008.04.20 -
DrWeb 4.44.0.09170 2008.04.19 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5714 2008.04.19 -
Ewido 4.0 2008.04.20 -
F-Prot 4.4.2.54 2008.04.20 -
F-Secure 6.70.13260.0 2008.04.19 -
FileAdvisor 1 2008.04.20 -
Fortinet 3.14.0.0 2008.04.20 -
Ikarus T3.1.1.26 2008.04.20 -
Kaspersky 7.0.0.125 2008.04.20 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.20 -
NOD32v2 3041 2008.04.19 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.19 -
Prevx1 V2 2008.04.20 -
Rising 20.40.62.00 2008.04.20 -
Sophos 4.28.0 2008.04.20 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.20 -
TheHacker 6.2.92.285 2008.04.19 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.19 -
Webwasher-Gateway 6.6.2 2008.04.18 -

weitere Informationen
File size: 145408 bytes
MD5...: c574151933a88e69ee08ce6ad0ac37b4
SHA1..: 56f464ed3b138d75a78414b92e39f624e021923d
SHA256: 82e1137d6cfdb678acb616221394720c746bba75f335205bed47e043069fb6ae
SHA512: 15b15c9def37a2132d6d3e1901eed06aa8a2887e11e725766b038c9a639fad6a
ece1977a6f489fa1bef4a09bb45a0119c8557e2b9a5f6e9eeee7fa48b868d31d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10178b6
timedatestamp.....: 0x3d6dd8b4 (Thu Aug 29 08:17:56 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1b4fc 0x1b600 6.09 517adefa8d9c8a27868237fa94ed9ac6
.data 0x1d000 0x107c 0x1000 4.52 b0633db86559c72fd078ec1931826c18
.rsrc 0x1f000 0x6da8 0x6e00 3.92 3548daa108fd6f2327ebf396c87ea4b1

( 10 imports )
> MFC42u.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcrt.dll: wcscmp, _wcsicmp, wcscpy, _wmakepath, wcsncmp, wcslen, wcsncpy, _wtoi, _wtol, ceil, _ftol, malloc, free, realloc, iswdigit, _c_exit, _exit, _CxxThrowException, exit, _wcmdln, __wgetmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __CxxFrameHandler, _itow, wcscat, _terminate@@YAXXZ, __1type_info@@UAE@XZ, __dllonexit, _onexit, _controlfp, _except_handler3, wcscoll, _purecall, _XcptFilter, _cexit
> ADVAPI32.dll: RegCreateKeyExW, RegQueryValueExA, RegCloseKey, RegQueryValueExW, RegSetValueExW, RegOpenKeyExW, QueryServiceConfigW, RegDeleteValueW, CloseServiceHandle, ChangeServiceConfigW, OpenServiceW, OpenSCManagerW, EnumServicesStatusW, RegDeleteKeyW, RegOpenKeyExA, RegEnumKeyExW, RegEnumValueW, RegQueryInfoKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken
> KERNEL32.dll: FindNextFileW, FindClose, CreateThread, WaitForSingleObject, MoveFileExW, GetLastError, GetDriveTypeW, GetSystemDirectoryW, lstrlenW, GetCurrentThreadId, GlobalAlloc, lstrlenA, CloseHandle, ReadFile, GetFileSize, CreateFileW, SetEndOfFile, WriteFile, SetFilePointer, SetFileAttributesW, GetFileAttributesW, lstrcmpW, GlobalMemoryStatus, GetSystemInfo, GlobalUnlock, GlobalLock, FindFirstFileW, GlobalFree, GlobalHandle, FindResourceW, CreateSemaphoreW, CreateDirectoryW, lstrcpyW, lstrcmpiW, lstrcpynW, InitializeCriticalSection, HeapDestroy, DeleteCriticalSection, lstrcatW, GetModuleFileNameW, FreeLibrary, GetProcAddress, LoadLibraryW, GetModuleHandleW, SizeofResource, LoadLibraryExW, GetShortPathNameW, GetCommandLineW, OpenProcess, GetCurrentProcessId, GetModuleHandleA, GetStartupInfoW, DeleteFileW, CopyFileW, ExpandEnvironmentStringsW, MultiByteToWideChar, WideCharToMultiByte, FlushInstructionCache, GetCurrentProcess, HeapFree, GetProcessHeap, HeapAlloc, LeaveCriticalSection, FreeResource, EnterCriticalSection, LockResource, LoadLibraryA, LoadResource
> GDI32.dll: DeleteObject, CreateCompatibleBitmap, CreateCompatibleDC, BitBlt, DeleteDC, GetStockObject, GetObjectW, GetDeviceCaps, SelectObject, GetTextMetricsW, GetTextExtentPoint32W, CreateSolidBrush
> USER32.dll: IsWindow, ExitWindowsEx, SetForegroundWindow, GetLastActivePopup, FindWindowW, IsIconic, CharNextW, LoadIconW, GetActiveWindow, DialogBoxIndirectParamW, RegisterWindowMessageW, GetWindowTextLengthW, GetWindowTextW, SetWindowTextW, CreateWindowExW, GetClassInfoExW, LoadCursorW, RegisterClassExW, CreateAcceleratorTableW, CheckDlgButton, EnableWindow, SendMessageW, GetClientRect, GetFocus, MessageBoxW, IsWindowEnabled, ShowWindow, PostMessageW, SetFocus, GetParent, CallWindowProcW, SetWindowLongW, GetWindowLongW, ScreenToClient, GetMessagePos, GetProcessDefaultLayout, ReleaseDC, GetDC, GetAsyncKeyState, DefWindowProcW, GetSysColor, GetDesktopWindow, ReleaseCapture, SetCapture, InvalidateRect, InvalidateRgn, GetWindow, IsChild, EndPaint, FillRect, BeginPaint, GetDlgItem, SetWindowPos, wsprintfW, RedrawWindow, GetClassNameW, DestroyWindow, EndDialog, GetDlgItemTextW, IsDlgButtonChecked, SetDlgItemTextW
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -
> ole32.dll: CoTaskMemRealloc, CoInitializeEx, CoRevokeClassObject, OleUninitialize, OleInitialize, CreateStreamOnHGlobal, CLSIDFromString, CLSIDFromProgID, OleLockRunning, CoTaskMemAlloc, StringFromCLSID, CoTaskMemFree, CoInitialize, CoCreateInstance, CoUninitialize, CoRegisterClassObject
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> SHELL32.dll: SHGetSpecialFolderPathW, ShellExecuteW, SHGetMalloc, SHBrowseForFolderW, SHGetPathFromIDListW

( 0 exports )

---------------------------------------------------------------------------

Datei hjsplit.exe empfangen 2008.04.20 13:34:02 (CET)
Status: Beendet
Ergebnis: 3/32 (9.38%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.19 -
Avast 4.8.1169.0 2008.04.19 -
AVG 7.5.0.516 2008.04.19 -
BitDefender 7.2 2008.04.20 -
CAT-QuickHeal 9.50 2008.04.19 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.20 -
DrWeb 4.44.0.09170 2008.04.19 -
eSafe 7.0.15.0 2008.04.17 Suspicious File
eTrust-Vet 31.3.5714 2008.04.19 -
Ewido 4.0 2008.04.20 -
F-Prot 4.4.2.54 2008.04.20 -
F-Secure 6.70.13260.0 2008.04.19 -
FileAdvisor 1 2008.04.20 -
Fortinet 3.14.0.0 2008.04.20 -
Ikarus T3.1.1.26.0 2008.04.20 -
Kaspersky 7.0.0.125 2008.04.20 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.20 -
NOD32v2 3041 2008.04.19 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.19 -
Prevx1 V2 2008.04.20 -
Rising 20.40.62.00 2008.04.20 -
Sophos 4.28.0 2008.04.20 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.20 -
TheHacker 6.2.92.285 2008.04.19 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.19 -
Webwasher-Gateway 6.6.2 2008.04.18 Win32.Malware.gen!88 (suspicious)

weitere Informationen
File size: 178688 bytes
MD5...: 51fa95185555406f2126345578f6ffe4
SHA1..: 32522f1db963d1d6c2b4c219d36afb244000c4da
SHA256: 45905a2ddb59d7e0f223b32672245c84b808b539e6306fe0143eb98ff60debb6
SHA512: ea6fe2fdb50e00ab4144787ad9ffd91777a9bc5a82dff3ea346eb129cae02f8c
3918bfa45375307c6b55439822974df5819cdb8fd37dc2ce00bdda3d20c2db8b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x425cec
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x51000 0x24e00 7.94 c92c46629fad5f0cf8ec0bb45531c2be
DATA 0x52000 0x1000 0x800 6.85 0ceaa25e629180b703da211426e4c5fc
BSS 0x53000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x54000 0x3000 0xe00 7.44 f21112eb463f8d5492c7af8a1d508695
.tls 0x57000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x58000 0x1000 0x200 0.31 52b3e4fd7a628784b3186ccd5dae4344
.reloc 0x59000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x60000 0x27000 0x4200 7.27 623a956f0f44dd0e43bdfa3c42e76989
.data 0x87000 0x1000 0xe00 4.20 68ce1fda67bc760a9d555ce0240e5312

( 1 imports )
> KERNEL32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA

( 0 exports )
packers (Kaspersky): ASPack
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=51fa95185555406f2126345578f6ffe4
packers (F-Prot): Aspack

----------------------------------------------------------------------------

Datei cscript.exe empfangen 2008.04.20 13:38:16 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.19 -
Avast 4.8.1169.0 2008.04.19 -
AVG 7.5.0.516 2008.04.19 -
BitDefender 7.2 2008.04.20 -
CAT-QuickHeal 9.50 2008.04.19 -
ClamAV 0.92.1 2008.04.20 -
DrWeb 4.44.0.09170 2008.04.19 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5714 2008.04.19 -
Ewido 4.0 2008.04.20 -
F-Prot 4.4.2.54 2008.04.20 -
F-Secure 6.70.13260.0 2008.04.19 -
FileAdvisor 1 2008.04.20 -
Fortinet 3.14.0.0 2008.04.20 -
Ikarus T3.1.1.26 2008.04.20 -
Kaspersky 7.0.0.125 2008.04.20 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.20 -
NOD32v2 3041 2008.04.19 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.19 -
Prevx1 V2 2008.04.20 -
Rising 20.40.62.00 2008.04.20 -
Sophos 4.28.0 2008.04.20 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.20 -
TheHacker 6.2.92.285 2008.04.19 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.19 -
Webwasher-Gateway 6.6.2 2008.04.18 -

weitere Informationen
File size: 98304 bytes
MD5...: ee1f8828849acdef60e7df9c25a715ab
SHA1..: 4c80600074898af5551e24095edd6a2223fa17bb
SHA256: 2e6be76ba70701e04f4567e1ca271bee6c99ee9be24c962abbda84458d153e42
SHA512: b194e0e0d36e19f585f24979c2d37113641303e9973d23cce8b23477cacfa5bf
95799369ff4c82d56e074cae776c13a076d0f60f538b7800e740495c6b58faf5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1002842
timedatestamp.....: 0x41107bbb (Wed Aug 04 06:01:31 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd288 0xe000 6.26 220fa096045834c6592c3892f717a7e3
.data 0xf000 0x1ec 0x1000 0.35 8a13609b6a451e847ce8e238d070e47c
.rsrc 0x10000 0x7c90 0x8000 4.16 98def3e2d7818fa400e96e282a44e05e

( 8 imports )
> msvcrt.dll: __2@YAPAXI@Z, _vsnprintf, malloc, free, _ftol, _itow, __3@YAXPAX@Z, _except_handler3, wcsrchr
> KERNEL32.dll: GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, GetCurrentProcessId, GetPrivateProfileIntA, GetTickCount, GetPrivateProfileStringW, GetPrivateProfileStringA, GetFullPathNameW, GetFullPathNameA, GetLocaleInfoA, lstrlenA, GetPrivateProfileIntW, GetCurrentThreadId, lstrcpyA, HeapReAlloc, HeapAlloc, GetProcessHeap, HeapFree, FreeLibrary, GetSystemDirectoryA, QueryPerformanceCounter, GetModuleHandleA, GetCommandLineW, GetCommandLineA, MultiByteToWideChar, ExitProcess, GetStdHandle, lstrlenW, WideCharToMultiByte, GetLastError, WriteConsoleW, WriteFile, GetFileType, GetFileSize, CreateFileW, CreateEventA, GetCPInfo, GetACP, FindClose, FindFirstFileA, GetFileAttributesA, FindFirstFileW, GetFileAttributesW, LocalFree, FormatMessageA, LocalAlloc, FormatMessageW, GetProcAddress, LoadLibraryA, InitializeCriticalSection, GetModuleFileNameA, GetModuleFileNameW, DeleteCriticalSection, SetEvent, CloseHandle, CreateThread, GetTempPathA, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InterlockedIncrement, InterlockedDecrement, GetUserDefaultLCID, FlushFileBuffers, CreateFileA, GetTempFileNameA
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> ole32.dll: CreateFileMoniker, CoCreateInstance, CoInitializeSecurity, CreateBindCtx, CoRegisterMessageFilter, CLSIDFromString, CoInitialize, CoUninitialize, CoGetClassObject, MkParseDisplayName, CLSIDFromProgID
> VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueW
> IMM32.dll: ImmGetDefaultIMEWnd
> ADVAPI32.dll: RegSetValueExA, RegQueryValueExW, RegQueryValueExA, RegCreateKeyExW, RegCreateKeyExA, RegOpenKeyExW, RegOpenKeyExA, ImpersonateLoggedOnUser, IsTextUnicode, RegisterEventSourceW, GetUserNameW, LookupAccountNameW, ReportEventW, DeregisterEventSource, RegCloseKey, RegSetValueExW
> USER32.dll: LoadStringA, LoadStringW, CharNextA, GetActiveWindow, GetClassInfoA, RegisterClassA, CreateWindowExA, GetMessageA, GetWindowLongA, SetWindowLongA, SetTimer, DefWindowProcA, PostQuitMessage, KillTimer, EnumThreadWindows, IsWindowVisible, PostMessageA, SendMessageA, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetParent, wsprintfW, wsprintfA

( 0 exports )

#10 Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveSexCam_at]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pmrr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL]

File::
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\edla.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll

Folder::
C:\Program Files\VCom
C:\WINDOWS\System32\P2P Networking

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

-----------------------------------------------------

««
wende sdifx im abgesicherten Modus an + poste hier den report
http://virus-protect.org/artikel/tools/sdfix.html

««
scanne mit Windowsdefender + berichte
http://virus-protect.org/ms.html
__________
MfG Sabina

rund um die PC-Sicherheit