Trojaner Backdoor.Win32.Agent.ac löschen? |
||
---|---|---|
#0
| ||
13.04.2008, 15:32
Member
Beiträge: 26 |
||
|
||
13.04.2008, 16:02
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo demoness
die Internetverbindung wird nach San Franciso umgeleitet ist der Wareout. O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222 199 Fremont St. 12th Floor San Francisco California,94105 der installiert sich, wenn man sich auf bestimmten Seiten rumdrückt - und dann noch alles abnickt, was sich installieren will ........ -------------------------------------------------------------------- «« mit dem HijackThis löschen ("fixen") Setze ein Häckchen in das Kästchen vor den genannten Eintrag Klicke: "Do a system scan only" und wähle fix checked. Zitat O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL«« wende fixwareout an + poste den report http://virus-protect.org/artikel/tools/fixwareout.html «« wende bitte Combofix an + poste den report (Warnmeldungen wegklicken) http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2008, 08:49
Member
Themenstarter Beiträge: 26 |
#3
mhh klingt ja nicht gut, danke schon mal für die erste hilfe von dir!
bin heute wieder bei meinen eltern und werd das gleich mal machen was du mir vorgeschlagen hast! MfG |
|
|
||
19.04.2008, 13:01
Ehrenmitglied
Beiträge: 29434 |
#4
wenn du alles so anwendest, wie beschrieben, sollte man das wieder sauber bekommen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.04.2008, 13:26
Member
Themenstarter Beiträge: 26 |
#5
Hallo,
so hab die Fixes im Hijackthis jetzt gemacht, keine Probleme, die Einträge waren auch nach einem Neustart nicht mehr da! so weit so gut... Fixwareout angewendet.... PC ist nicht von allein heruntergefahren (hab 20min. gewartet) habe ihn so resetet (war auch beim combofix dann so!). Sonst verlief alles ohne Probleme...hier der report Username "Admin" - 19.04.2008 12:39:29 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check Der DNS-Auflösungscache konnte nicht geleert werden: Beim Ausführen der Funktion ist ein Fehler aufgetreten. PC crashed or was not allowed to reboot. ~~~~~ Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... ~~~~~ Misc files. .... ~~~~~ Checking for older varients. .... ~~~~~ Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit" "SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.6.0_05\\bin\\jusched.exe\"" "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\ 65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00 "Disc Detector"="C:\\Programme\\Creative\\ShareDLL\\CtNotify.exe" "UpdReg"="C:\\WINDOWS\\Updreg.exe" "CTStartup"="C:\\Programme\\Creative\\SBAudigy\\Program\\CTEaxSpl.EXE /run" "Jet Detection"="C:\\Programme\\Creative\\SBAudigy\\PROGRAM\\ADGJDet.exe" "SetIcon"="\\Program Files\\SMSC\\Seticon.exe" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "USBDetector"="C:\\USBStorage\\USBDetector.exe" "FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe" "msnappau"="\"C:\\Programme\\MSN Apps\\Updater\\01.02.3000.1001\\de\\msnappau.exe\"" "AVP"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\"" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" "updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1" "TaskTray"="C:\\Programme\\Creative\\SBAudigy\\Taskbar\\CTLTray.exe" .... Hosts file was reset, If you use a custom hosts file please replace it... ~~~~~ End report ~~~~~ Und jetzt noch der Combofix… ComboFix 08-04-18.3 - Admin 2008-04-19 13:05:09.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.117 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url C:\WINDOWS\system\plugin.exe C:\WINDOWS\system32\Cfx32.lic C:\WINDOWS\system32\cfx32.ocx C:\WINDOWS\system32\mseggrpid.dll C:\WINDOWS\tmlpcert2005 . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SVCHOST ((((((((((((((((((((((( Dateien erstellt von 2008-03-19 bis 2008-04-19 )))))))))))))))))))))))))))))) . 2008-04-19 12:39 . 2008-04-19 12:54 <DIR> d-------- C:\fixwareout 2008-04-13 14:40 . 2008-04-13 14:39 691,545 --a------ C:\WINDOWS\unins000.exe 2008-04-13 14:40 . 2008-04-13 14:40 2,546 --a------ C:\WINDOWS\unins000.dat 2008-04-06 13:42 . 2008-04-06 13:42 313,283 --a------ C:\Programme\cwshredder.zip 2008-04-06 13:28 . 2008-04-06 13:37 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-04-06 13:28 . 2008-04-06 13:37 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-04-06 13:27 . 2008-04-06 13:28 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-04-06 13:27 . 2008-04-19 13:09 2,847,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-04-06 13:27 . 2008-04-17 11:32 47,904 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-06 13:27 . 2008-04-17 11:32 24,788 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-06 13:27 . 2008-04-17 11:32 6,212 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-06 13:26 . 2008-04-06 13:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 52 Datei(en) . 3,315,090 C:\ComboFix\Bytes 47 Datei(en) . 18,813,017 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-19 10:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-04-17 10:21 --------- d-----w C:\Programme\Java 2008-04-13 13:17 --------- d-----w C:\Programme\Trillian 2008-04-13 12:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-04-13 12:43 --------- d-----w C:\Programme\Spybot - Search & Destroy 2007-04-11 18:52 92,064 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdm.sys 2007-04-11 18:52 9,232 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdfl.sys 2007-04-11 18:52 79,328 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmserd.sys 2007-04-11 18:52 66,656 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmbus.sys 2007-04-11 18:52 6,208 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcmnt.sys 2007-04-11 18:52 5,936 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmwhnt.sys 2007-04-11 18:52 4,048 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcr.sys 2007-04-11 18:52 25,600 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermptxp.sys 2007-04-11 18:52 22,768 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermpt.sys 2006-02-28 06:27 145,408 ----a-w C:\Programme\msconfig.exe 2005-11-02 08:02 32,848 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-10-20 12:23 8,192 ----a-w C:\Dokumente und Einstellungen\Admin\test.reg 2005-07-09 01:44 777 ----a-w C:\Programme\trial_setup.ini 2005-02-17 15:06 1,568 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\mpauth.dat 2004-06-28 11:16 91 ----a-w C:\Programme\backup-20040628-131632-520 2004-06-28 11:11 87 ----a-w C:\Programme\backup-20040628-131148-494 2004-06-28 11:11 84 ----a-w C:\Programme\backup-20040628-131148-766 2004-06-28 11:11 73 ----a-w C:\Programme\backup-20040628-131148-952 2004-06-28 11:11 65 ----a-w C:\Programme\backup-20040628-131148-715 2004-06-28 11:11 108 ----a-w C:\Programme\backup-20040628-131148-798 2004-06-27 20:41 77 ----a-w C:\Programme\backup-20040627-224145-707 2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-939 2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-440 2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-618 2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-160 2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-803 2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-243 2004-06-27 19:04 81 ----a-w C:\Programme\backup-20040627-210407-204 2004-06-27 19:04 77 ----a-w C:\Programme\backup-20040627-210407-851 2004-06-27 19:04 74 ----a-w C:\Programme\backup-20040627-210407-432 2004-06-27 19:04 64 ----a-w C:\Programme\backup-20040627-210407-247 2004-06-27 19:04 58 ----a-w C:\Programme\backup-20040627-210407-535 2004-06-27 19:04 57 ----a-w C:\Programme\backup-20040627-210407-336 2004-06-27 19:04 123 ----a-w C:\Programme\backup-20040627-210407-630 2004-06-27 19:04 120 ----a-w C:\Programme\backup-20040627-210407-402 2004-06-25 11:27 775 -c--a-w C:\Programme\backup-20040625-132735-187 2004-06-25 11:27 2,866 ----a-w C:\Programme\backup-20040625-132741-830 2004-06-25 11:27 2,767 ----a-w C:\Programme\backup-20040625-132740-645 2004-06-25 11:27 2,631 ----a-w C:\Programme\backup-20040625-132740-217 2004-06-25 11:27 2,342 ----a-w C:\Programme\backup-20040625-132741-639 2004-06-25 11:27 2,308 ----a-w C:\Programme\backup-20040625-132736-233 2004-06-25 11:27 1,854 ----a-w C:\Programme\backup-20040625-132740-317 2004-06-25 11:27 1,767 ----a-w C:\Programme\backup-20040625-132739-864 2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132742-771 2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132736-747 2004-06-25 11:27 1,228 ----a-w C:\Programme\backup-20040625-132735-962 2004-06-15 08:55 345 ----a-w C:\Programme\backup-20040625-132735-962.inf 2004-06-02 13:30 9,728 ----a-w C:\Programme\backup-20040625-132736-747.dll 2004-06-02 10:04 238 ----a-w C:\Programme\backup-20040625-132736-747.inf 2004-05-10 10:22 238 ----a-w C:\Programme\backup-20040625-132742-771.inf 2004-03-28 01:48 205 ----a-w C:\Programme\backup-20040625-132741-639.inf 2004-03-17 15:36 2,140 ----a-w C:\Programme\backup-20040625-132740-217.inf 2004-01-29 11:55 521,760 ----a-w C:\Programme\backup-20040625-132736-233.dll 2004-01-22 23:08 1,278 ----a-w C:\Programme\INSTALL.LOG 2004-01-20 12:12 520,349 ----a-w C:\Programme\backup-20040625-132739-864.dll 2004-01-19 12:02 107,008 ----a-w C:\Programme\CWShredder.exe 2003-12-08 13:01 933,888 ----a-w C:\Programme\backup-20040625-132741-830.dll 2003-12-08 12:58 3,759 ----a-w C:\Programme\backup-20040625-132741-830.inf 2003-08-25 17:12 1,096 ----a-w C:\Programme\backup-20040625-132740-317.inf 2003-08-25 17:06 115,808 ----a-w C:\Programme\backup-20040625-132740-317.dll 2003-07-25 13:22 434,176 ----a-w C:\Programme\backup-20040625-132740-645.dll 2003-07-25 13:17 1,777 ----a-w C:\Programme\backup-20040625-132740-645.inf 2000-11-15 08:21 178,688 ----a-w C:\Programme\hjsplit.exe 2005-05-13 15:12 217,073 -csha-w C:\WINDOWS\meta4.exe 2005-10-24 09:13 66,560 -csha-w C:\WINDOWS\MOTA113.exe 2005-10-13 19:27 422,400 -csha-w C:\WINDOWS\x2.64.exe 2005-07-14 10:31 27,648 --sha-w C:\WINDOWS\system32\AVSredirect.dll 2005-06-26 13:32 616,448 --sha-w C:\WINDOWS\system32\cygwin1.dll 2005-06-21 20:37 45,568 --sha-w C:\WINDOWS\system32\cygz.dll 2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\i420vfw.dll 2005-12-22 18:23 816,640 --sha-w C:\WINDOWS\system32\smab.dll 2005-02-28 11:16 240,128 --sha-w C:\WINDOWS\system32\x.264.exe 2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\yv12vfw.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 16:53 307200] "TaskTray"="C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe" [2001-06-29 01:00 163840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-07-20 21:07 7110656] "nwiz"="nwiz.exe" [2005-07-20 21:07 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-07-20 21:07 86016] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Disc Detector"="C:\Programme\Creative\ShareDLL\CtNotify.exe" [2001-04-02 02:00 191488] "UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 01:00 90112] "CTStartup"="C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.exe" [2001-06-04 01:00 28672] "Jet Detection"="C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52 28672] "SetIcon"="\Program Files\SMSC\Seticon.exe" [ ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-10 21:03 180269] "USBDetector"="C:\USBStorage\USBDetector.exe" [2003-04-01 11:33 53248] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320] "msnappau"="C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" [ ] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] "ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-05-04 14:45 78848] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=C:\WINDOWS\pss\Last.fm Helper.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2007-03-14 19:05 257088 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveSexCam_at] C:\Program Files\VCom\Dialers\LiveSexCam_at\LiveSexCam_at.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2004-05-28 22:22 4882432 C:\Programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NovaBackup 7 Tray Control] --a------ 2006-09-30 11:58 421888 C:\Programme\NovaStor\NovaBACKUP\NbkCtrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pmrr] C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\edla.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSPVideo9] C:\Programme\pspvideo9\pspVideo9.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-02-16 10:54 282624 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter] --------- 2001-07-03 01:30 122880 C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL] C:\WINDOWS\Downloaded Program Files\bridge.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar] --------- 2001-07-26 01:00 118784 C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2005-10-10 21:03 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Soulseek\\slsk.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41] R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41] R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2005-07-25 04:38] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\System32\drivers\SSHDRV86.sys [2005-06-15 15:08] R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\system32\drivers\e10kx2k.sys [2001-07-13 14:29] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58] S3 SaitekPad;deviceX634 driver;C:\WINDOWS\system32\drivers\hidsaitek.sys [2002-05-23 12:17] . Inhalt des "geplante Tasks" Ordners "2007-04-11 18:36:30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-19 13:13:32 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Disc Detector = C:\Programme\Creative\ShareDLL\CtNotify.exe?P ??X???????????????? C?????Disc Detector?B???A???????A?P ????B???@?$?@?? C?????U?@?????????@?B???A???????A?? ????B???@?????P???$?@?P ????????6~??????????@???????????????????B?????? ????????????????????????????B CTStartup = C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???6~??6~????????\???\???????$???U?6~??6~\?? ?\???????8?`???????7~\???\??????s????\??????s\????&2?A??s?&2???7~??? Scanne versteckte Dateien... C:\WINDOWS\TEMP\WGANotify.settings 409 bytes C:\WINDOWS\TEMP\wpa2.tmp 181 bytes C:\WINDOWS\TEMP\wpdlog00.sqm 320 bytes C:\WINDOWS\TEMP\~DFE018.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE01C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE01D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE02E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE045.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE056.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE05E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE064.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE067.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE06F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE074.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE079.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE08B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE08E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE430.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE431.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE432.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE434.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE436.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE437.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE439.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE441.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE442.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE444.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE445.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE446.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE447.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE448.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE449.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE44D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE44F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4CA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4D1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4D3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4D5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4DA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4DE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4E3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4F1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4F4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4FB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE500.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE501.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE50E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE51A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE20B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE20F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE215.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE218.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE219.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE21F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE226.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE227.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE229.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE22E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE230.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE234.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE236.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE237.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE23A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE23D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE23F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE242.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE253.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE485.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE486.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE488.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE48B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE48C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE48D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE492.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE494.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE496.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A8.tcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net C:\WINDOWS\TEMP\~DFE4AA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4AD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4AF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4BA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4BF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3A1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3A3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3BA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3BE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3CB.tmp 16384 bytes C:\WINDOWS\TEMP\cch~138af518c.htp 0 bytes C:\WINDOWS\TEMP\cch~1bd9d9c0f.htp 0 bytes C:\WINDOWS\TEMP\cch~1c82cbb84.htp 0 bytes C:\WINDOWS\TEMP\~DFE108.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE116.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE122.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE127.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE155.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE160.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE166.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE16D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE170.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE17B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE180.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE186.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE18B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE18E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE199.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE19A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE19C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE19F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1A1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1A2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2D9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2E0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2E4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2E8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2EF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2F3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2FA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2FD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2FF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE301.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE302.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE305.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE30C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE310.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE316.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE31C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE31D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE31F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE320.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE322.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE324.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE325.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE32B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE32C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE32E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE330.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE331.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE332.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE334.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE335.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE338.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1AC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1AE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1AF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1B1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1BB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1BD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1C2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1C3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1C5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1D5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1DC.tmp 16384 bcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net C:\WINDOWS\TEMP\~DFE1E9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1EA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1EB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1ED.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1F3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1F4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1FB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE200.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE201.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE203.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE204.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE206.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE207.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE451.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE452.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE453.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE454.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE455.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE456.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE457.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE459.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE45B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE45E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE462.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE463.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE464.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE467.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE468.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE469.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE46D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE46F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE470.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE472.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE476.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE479.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE47C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE47D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE47E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE480.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE482.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE340.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE341.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE342.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE343.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE344.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE345.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE346.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE347.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE348.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE349.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE350.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE351.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE352.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE353.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE354.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE356.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE400.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE403.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE404.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE405.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE406.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE409.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE410.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE414.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE416.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE418.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE419.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE41A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE41D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE41F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE421.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE422.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE424.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE425.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE426.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE428.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE429.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE42B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE42D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE547.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE553.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE55F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE567.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE569.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE578.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE582.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE589.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE591.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE59B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE5A6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE5B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE5F1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE608.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE610.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE628.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE63B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE64E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE668.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE670.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE686.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6C2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6ED.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6F2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE703.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE729.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE75D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE7A3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE808.tmp 16384 bytes C:\WINDOWS\TEMP\~DFEFEA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0AD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0B5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0C0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0C7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0C8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0CE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0D0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0D6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0DD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0E0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0E6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0E7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0EB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0F2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0F6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0F8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0FD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE100.tmp 16384 bytes C:\WINDOWS\TEMP\cch~10b85ab5f.htp 0 bytes C:\WINDOWS\TEMP\cch~10b85b8da.htp 0 bytes C:\WINDOWS\TEMP\cch~10bb81944.htp 0 bytes C:\WINDOWS\TEMP\cch~10bb823bd.htp 0 bytes C:\WINDOWS\TEMP\cch~10bf28695.htp 0 bytes C:\WINDOWS\TEMP\cch~10bf28f89.htp 0 bytes C:\WINDOWS\TEMP\cch~10c51f9f6.htp 0 bytes C:\WINDOWS\TEMP\cch~10cb8e5ad.htp 0 bytes C:\WINDOWS\TEMP\cch~4e3ff2d0.htp 0 bytes C:\WINDOWS\TEMP\cch~4e527275d.htp 0 bytes C:\WINDOWS\TEMP\cch~4e52c082e.htp 0 bytes C:\WINDOWS\TEMP\~DFE358.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE359.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE360.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE361.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE362.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE363.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE364.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE365.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE366.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE367.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE368.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE369.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE36B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE36D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE36F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE371.tmp 16384 bytes C:\WINDOWS\TEMP\cch~11c390d70.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3cc73c.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3cd156.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3d2ae7.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3d3400.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3d507e.htp 0 bytes C:\WINDOWS\TEMP\cch~11c442e27.htp 0 bytes C:\WINDOWS\TEMP\cch~11c443828.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44579b.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44d067.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44ddc6.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44e6dd.htp 0 bytes C:\WINDOWS\TEMP\cch~22016621a.htp C:\WINDOWS\TEMP\cch~220166c96.htp C:\WINDOWS\TEMP\cch~220198cf0.htp C:\WINDOWS\TEMP\cch~220199538.htp C:\WINDOWS\TEMP\cch~22317cd0e.htp C:\WINDOWS\TEMP\cch~22317d562.htp C:\WINDOWS\TEMP\cch~223743ae6.htp C:\WINDOWS\TEMP\cch~2237444c6.htp C:\WINDOWS\TEMP\cch~11c281962.htp 0 bytes C:\WINDOWS\TEMP\cch~11c282308.htp 0 bytes C:\WINDOWS\TEMP\cch~11c283013.htp 0 bytes C:\WINDOWS\TEMP\cch~11c283a56.htp 0 bytes C:\WINDOWS\TEMP\cch~11c29ded3.htp 0 bytes C:\WINDOWS\TEMP\cch~11c29e7f9.htp 0 bytes C:\WINDOWS\TEMP\cccatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net C:\WINDOWS\TEMP\cch~11c29ff18.htp 0 bytes C:\WINDOWS\TEMP\cch~11c2aa942.htp 0 bytes C:\WINDOWS\TEMP\cch~11c2ab2ef.htp 0 bytes C:\WINDOWS\TEMP\cch~11c35cf38.htp 0 bytes C:\WINDOWS\TEMP\cch~11c35da6e.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3672b8.htp 0 bytes C:\WINDOWS\TEMP\cch~11c367ca5.htp 0 bytes C:\WINDOWS\TEMP\cch~11c37f1ee.htp 0 bytes C:\WINDOWS\TEMP\cch~11c37fc31.htp 0 bytes C:\WINDOWS\TEMP\~DFE373.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE374.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE375.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE380.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE383.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE384.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE386.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE389.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE38E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE38F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE392.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE393.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE395.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE396.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE397.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE398.tmp 16384 bytes C:\WINDOWS\TEMP\cch~9bd460ab.htp 0 bytes C:\WINDOWS\TEMP\cch~9bd5b74c.htp 0 bytes C:\WINDOWS\TEMP\cch~9bd9c17f.htp 0 bytes C:\WINDOWS\TEMP\cch~9be1907a.htp 0 bytes C:\WINDOWS\TEMP\~DFE3D1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3EA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3ED.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3EE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F6.tmp 16384 bytes C:\WINDOWS\TEMP\cch~9c61255c.htp 0 bytes C:\WINDOWS\TEMP\cch~9c66b47c.htp 0 bytes C:\WINDOWS\TEMP\cch~9c6c3b19.htp 0 bytes C:\WINDOWS\TEMP\cch~a18ce1ea.htp 0 bytes C:\WINDOWS\TEMP\cch~a198423d.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc37196.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc76443.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc76d3e.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc7f674.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc838a4.htp 0 bytes C:\WINDOWS\TEMP\cch~10cd8315e.htp 0 bytes C:\WINDOWS\TEMP\cch~10cd8d847.htp 0 bytes C:\WINDOWS\TEMP\cch~10ce1a002.htp 0 bytes C:\WINDOWS\TEMP\cch~10ce24585.htp 0 bytes C:\WINDOWS\TEMP\cch~10ceef914.htp 0 bytes C:\WINDOWS\TEMP\cch~10cef152c.htp 0 bytes C:\WINDOWS\TEMP\cch~10cf0383a.htp 0 bytes C:\WINDOWS\TEMP\cch~10cf0a51f.htp 0 bytes C:\WINDOWS\TEMP\~DFE107.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1A7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE208.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE256.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2D8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE357.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE372.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE399.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3CE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE42F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE450.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE483.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE533.tmp 16384 bytes C:\WINDOWS\TEMP\cch~18c7aa7b9.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1b737ad.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1b742bd.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1c82bc5.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1cd7cf0.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1f746de.htp 0 bytes C:\WINDOWS\TEMP\cch~1a6289700.htp 0 bytes C:\WINDOWS\TEMP\cch~1a670027e.htp 0 bytes C:\WINDOWS\TEMP\cch~1b9eb26de.htp 0 bytes C:\WINDOWS\TEMP\cch~10e2095d1.htp 0 bytes C:\WINDOWS\TEMP\cch~10e228ff5.htp 0 bytes C:\WINDOWS\TEMP\cch~2c8e27fc.htp 0 bytes C:\WINDOWS\TEMP\cch~2c956425.htp 0 bytes C:\WINDOWS\TEMP\~DFE3D2.tmp 16384 bytes C:\WINDOWS\TEMP\cch~4e55a1e06.htp 0 bytes C:\WINDOWS\TEMP\cch~75e571ed.htp 0 bytes C:\WINDOWS\TEMP\cch~391ac562.htp 0 bytes C:\WINDOWS\TEMP\cch~39733f1c.htp 0 bytes C:\WINDOWS\TEMP\cch~4e2fd660.htp 0 bytes C:\WINDOWS\TEMP\cch~4e373f4d.htp 0 bytes C:\WINDOWS\TEMP\cch~7610c3c6.htp 0 bytes C:\WINDOWS\TEMP\cch~7610d77d.htp 0 bytes C:\WINDOWS\TEMP\cch~7780bbdc.htp 0 bytes C:\WINDOWS\TEMP\cch~77d6c0ef.htp 0 bytes C:\WINDOWS\TEMP\cch~7838f56c.htp 0 bytes C:\WINDOWS\TEMP\cch~783b094a.htp 0 bytes C:\WINDOWS\TEMP\cch~36ebe600.htp 0 bytes C:\WINDOWS\TEMP\cch~809bda15.htp 0 bytes C:\WINDOWS\TEMP\cch~809e16b8.htp 0 bytes C:\WINDOWS\TEMP\cch~783ba6ea.htp 0 bytes C:\WINDOWS\TEMP\cch~808ae3c7.htp 0 bytes C:\WINDOWS\TEMP\cch~2c95e876.htp 0 bytes C:\WINDOWS\TEMP\cch~3913cfbe.htp 0 bytes C:\WINDOWS\TEMP\cch~397d91a3.htp 0 bytes C:\WINDOWS\TEMP\cch~4e3af727.htp 0 bytes C:\WINDOWS\TEMP\cch~4e5349f81.htp 0 bytes C:\WINDOWS\TEMP\cch~4e55b5b97.htp 0 bytes C:\WINDOWS\TEMP\cch~760ab73a.htp 0 bytes C:\WINDOWS\TEMP\cch~761fb3b0.htp 0 bytes C:\WINDOWS\TEMP\cch~783b3214.htp 0 bytes C:\WINDOWS\TEMP\cch~80919db1.htp 0 bytes C:\WINDOWS\TEMP\cch~809e2933.htp 0 bytes C:\WINDOWS\TEMP\cch~82ffdc09.htp 0 bytes C:\WINDOWS\TEMP\cch~9bd0e42f.htp 0 bytes C:\WINDOWS\TEMP\cch~9be9f4db.htp 0 bytes C:\WINDOWS\TEMP\cch~a19937db.htp 0 bytes C:\WINDOWS\TEMP\cch~cd56b844.htp 0 bytes C:\WINDOWS\TEMP\WGAErrLog.txt 255 bytes C:\WINDOWS\TEMP\cch~82bafd29.htp 0 bytes C:\WINDOWS\TEMP\cch~11da24d6c.htp 0 bytes C:\WINDOWS\TEMP\cch~11da25686.htp 0 bytes C:\WINDOWS\TEMP\cch~9baeede3.htp 0 bytes C:\WINDOWS\TEMP\cch~9bbdea49.htp 0 bytes C:\WINDOWS\TEMP\cch~9bcb8ef8.htp 0 bytes C:\WINDOWS\TEMP\cch~9bcedfa1.htp 0 bytes C:\WINDOWS\TEMP\cch~cd41e2b9.htp 0 bytes C:\WINDOWS\TEMP\cch~cd54dc2a.htp 0 bytes C:\WINDOWS\TEMP\cch~11dbe8313.htp 0 bytes C:\WINDOWS\TEMP\cch~11dbe8c54.htp 0 bytes C:\WINDOWS\TEMP\cch~11dd69712.htp 0 bytes C:\WINDOWS\TEMP\cch~11dd6d7a7.htp 0 bytes C:\WINDOWS\TEMP\cch~11f3cf1c3.htp 0 bytes C:\WINDOWS\TEMP\cch~11f3cff36.htp 0 bytes C:\WINDOWS\TEMP\cch~12fe36df7.htp 0 bytes C:\WINDOWS\TEMP\cch~12fe376b5.htp 0 bytes C:\WINDOWS\TEMP\cch~131bdd81b.htp 0 bytes C:\WINDOWS\TEMP\cch~131bde23b.htp 0 bytes C:\WINDOWS\TEMP\cch~13266f924.htp 0 bytes C:\WINDOWS\TEMP\cch~cdc79259.htp 0 bytes C:\WINDOWS\TEMP\dd_depcheck_NETFX20_EXP_35.txt 21336 bytes C:\WINDOWS\TEMP\dd_dotnetfx20error.txt 2 bytes C:\WINDOWS\TEMP\dd_dotnetfx20install.txt 80078 bytes C:\WINDOWS\TEMP\dd_NET_Framework20_Setup33C8.txt 10125494 bytes C:\WINDOWS\TEMP\fpRedmon.log 430 bytes C:\WINDOWS\TEMP\KAV6Upgrade C:\WINDOWS\TEMP\KAV6Upgrade\lic.dat 1010 bytes C:\WINDOWS\TEMP\KAV6Upgrade\upgrade.log 12638 bytes C:\WINDOWS\TEMP\netfxsl.log 25824 bytes C:\WINDOWS\TEMP\netfxupdate.log 1419 bytes C:\WINDOWS\TEMP\NetFxUpdate_v1.1.4322.log 7802 bytes C:\WINDOWS\TEMP\PR158.tmp 1587366704 bytes C:\WINDOWS\TEMP\PR275.tmp 280494080 bytes executable C:\WINDOWS\TEMP\uxeventlog.txt 16182 bytes C:\WINDOWS\TEMP\cch~13279a91a.htp 0 bytes C:\WINDOWS\TEMP\cch~1327b8f2b.htp 0 bytes C:\WINDOWS\TEMP\cch~1327b99a5.htp 0 bytes C:\WINDOWS\TEMP\cch~1327be538.htp 0 bytes C:\WINDOWS\TEMP\cch~1327beef3.htp 0 bytes C:\WINDOWS\TEMP\cch~1327c5db1.htp 0 bytes C:\WINDOWS\TEMP\cch~1327cb736.htp 0 bytes C:\WINDOWS\TEMP\cch~1327ccd5b.htp 0 bytes C:\WINDOWS\TEMP\cch~1327d7ff7.htp 0 bytes C:\WINDOWS\TEMP\cch~1327d8b82.htp 0 bytes C:\WINDOWS\TEMP\cch~1327ee7ef.htp 0 bytes C:\WINDOWS\TEMP\cch~1327eea7e.htp 0 bytes C:\WINDOWS\TEMP\cch~1327fc29c.htp 0 bytes C:\WINDOWS\TEMP\cch~1327fd9b6.htp 0 bytes C:\WINDOWS\TEMP\cch~132800048.htp 0 bytes C:\WINDOWS\TEMP\cch~132801d55.htp 0 bytes C:\WINDOWS\TEMP\cch~1328213e7.htp 0 bytes C:\WINDOWS\TEMP\cch~1328dc1ab.htp 0 bytes C:\WINDOWS\TEMP\cch~1328ddfcc.htp 0 bytes C:\WINDOWS\TEMP\cch~132905fc8.htp 0 bytes C:\WINDOWS\TEMP\cch~132906a15.htp 0 bytes C:\WINDOWS\TEMP\cch~13290adbb.htp 0 bytes C:\WINDOWS\TEMP\cch~13290baf4.htp 0 bytes C:\WINDOWS\TEMP\cch~13290f2ec.htp 0 bytes C:\WINDOWS\TEMP\cch~132910584.htp 0 bytes C:\WINDOWS\TEMP\cch~13292c42a.htp 0 bytes C:\WINDOWS\TEMP\cch~1329535e2.htp 0 bytes C:\WINDOWS\TEMP\cch~1329554f3.htp 0 bytes C:\WINDOWS\TEMP\cch~1366eaf5e.htp 0 bytes C:\WINDOWS\TEMP\cch~1366eb7fa.htp 0 bytes C:\WINDOWS\TEMP\cch~13670fc30.htp 0 bytes C:\WINDOWS\TEMP\cch~13670feff.htp 0 bytes C:\WINDOWS\TEMP\cch~1367176fc.htp 0 bytes C:\WINDOWS\TEMP\cch~13671b28c.htp 0 bytes C:\WINDOWS\TEMP\cch~13672473f.htp 0 bytes C:\WINDOWS\TEMP\cch~13674e7d3.htp 0 bytes C:\WINDOWS\TEMP\cch~13675c856.htp 0 bytes C:\WINDOWS\TEMP\cch~1367ba48f.htp 0 bytes C:\WINDOWS\TEMP\cch~1367bfa38.htp 0 bytes C:\WINDOWS\TEMP\cch~136810223.htp 0 bytes C:\WINDOWS\TEMP\cch~136810b41.htp 0 bytes C:\WINDOWS\TEMP\cch~136822bd9.htp 0 bytes C:\WINDOWS\TEMP\cch~1368238ff.htp 0 bytes C:\WINDOWS\TEMP\cch~136826f72.htp 0 bytes C:\WINDOWS\TEMP\cch~1368b9567.htp 0 bytes C:\WINDOWS\TEMP\cch~1368c29e0.htp 0 bytes C:\WINDOWS\TEMP\cch~1368cad2e.htp 0 bytes C:\WINDOWS\TEMP\cch~1368d05dd.htp 0 bytes C:\WINDOWS\TEMP\cch~1368d2423.htp 0 bytes C:\WINDOWS\TEMP\cch~136907a2d.htp 0 bytes C:\WINDOWS\TEMP\cch~136908336.htp 0 bytes C:\WINDOWS\TEMP\cch~13692b9e4.htp 0 bytes C:\WINDOWS\TEMP\cch~13692d253.htp 0 bytes C:\WINDOWS\TEMP\cch~136952e0c.htp 0 bytes C:\WINDOWS\TEMP\cch~13695412a.htp 0 bytes C:\WINDOWS\TEMP\cch~136956c30.htp 0 bytes C:\WINDOWS\TEMP\cch~136960a64.htp 0 bytes C:\WINDOWS\TEMP\cch~13696126b.htp 0 bytes C:\WINDOWS\TEMP\cch~136961f08.htp 0 bytes C:\WINDOWS\TEMP\cch~136963536.htp 0 bytes C:\WINDOWS\TEMP\cch~21a72c713.htp 8192 bytes C:\WINDOWS\TEMP\cch~1bd9f4518.htp 0 bytes C:\WINDOWS\TEMP\cch~1c82cb213.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc36444.htp 0 bytes C:\WINDOWS\TEMP\cch~10e1ee6b1.htp 0 bytes C:\WINDOWS\TEMP\cch~10e22a1af.htp 0 bytes C:\WINDOWS\TEMP\cch~11c390342.htp 0 bytes C:\WINDOWS\TEMP\cch~11d963632.htp 0 bytes C:\WINDOWS\TEMP\cch~11db34b30.htp 0 bytes C:\WINDOWS\TEMP\cch~132670208.htp 0 bytes C:\WINDOWS\TEMP\cch~132820abe.htp 0 bytes C:\WINDOWS\TEMP\cch~136716e14.htp 0 bytes C:\WINDOWS\TEMP\cch~1368d11d3.htp 0 bytes C:\WINDOWS\TEMP\cch~21bb5ac01.htp 8192 bytes C:\WINDOWS\TEMP\cch~23b61fc6c.htp 0 bytes C:\WINDOWS\TEMP\cch~20fc601a5.htp C:\WINDOWS\TEMP\cch~26aee16a7.htp 8192 bytes C:\WINDOWS\TEMP\~DFE0AC.tmp 16384 bytes C:\WINDOWS\TEMP\cch~138959a0f.htp 0 bytes C:\WINDOWS\TEMP\cch~13898577b.htp 0 bytes C:\WINDOWS\TEMP\cch~138994d5c.htp 0 bytes C:\WINDOWS\TEMP\cch~1389f7328.htp 0 bytes C:\WINDOWS\TEMP\cch~138a67638.htp 0 bytes C:\WINDOWS\TEMP\cch~138b17e76.htp 0 bytes C:\WINDOWS\TEMP\cch~138b56322.htp 0 bytes C:\WINDOWS\TEMP\cch~138b58038.htp 0 bytes C:\WINDOWS\TEMP\cch~13a20e2b9.htp 0 bytes C:\WINDOWS\TEMP\cch~1c8538b60.htp 0 bytes C:\WINDOWS\TEMP\cch~26aee0938.htp 8192 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 662 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\Ctsvccda.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe C:\Programme\Creative\ShareDLL\Mediadet.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\system32\cscript.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-04-19 13:20:20 - machine was rebooted ComboFix-quarantined-files.txt 2008-04-19 11:20:14 15 Verzeichnis(se), 7,513,153,536 Bytes frei 17 Verzeichnis(se), 7,421,358,080 Bytes frei 904 --- E O F --- 2008-04-16 05:01:09 |
|
|
||
19.04.2008, 16:02
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
1. Virustotal http://www.virustotal.com/flash/index_en.html C:\Programme\msconfig.exe C:\Programme\hjsplit.exe C:\WINDOWS\system32\cscript.exe C:\WINDOWS\system32\Ctsvccda.exe Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren 2. cleaner anwenden http://www.ccleaner.de/?protecus.de 3. Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" 4. scanne mit sdfix im abgesicherten Modus + poste dann hier den report http://virus-protect.org/artikel/tools/sdfix.html 5. lade combofix neu + poste den report http://virus-protect.org/artikel/tools/combofix.html 6. poste ein neues Log vom HijackThis « __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.04.2008, 01:38
Member
Themenstarter Beiträge: 26 |
#7
Hallo,
1.) C:\Programme\msconfig.exe MD5: c574151933a88e69ee08ce6ad0ac37b4 First received: - Datum 2008.04.20 00:23:41 (CET) [<1D] Ergebnisse 0/32 Permalink: analisis/058b206379b126022306bb46d92855df C:\Programme\hjsplit.exe MD5: 51fa95185555406f2126345578f6ffe4 First received: 2006.05.22 15:34:08 (CET) Datum 2008.03.31 09:27:11 (CET) [>19D] Ergebnisse 3/32 Permalink: analisis/fea04f1361b92126972d08d4ff91369e C:\WINDOWS\system32\cscript.exe MD5: ee1f8828849acdef60e7df9c25a715ab First received: - Datum 2008.04.08 15:43:19 (CET) [>11D] Ergebnisse 0/32 Permalink: analisis/c497df3c6b89c920d34110c81595d429 C:\WINDOWS\system32\Ctsvccda.exe MD5: 3c8b6609712f4ff78e521f6dcfc4032b First received: - Datum 2008.04.11 05:03:35 (CET) [>8D] Ergebnisse 0/32 Permalink: analisis/16b5baaa0035285fd42c7842f58b4541 2.) Angegebenen Cleaner hab ich durchlaufen lassen - rund 120MB entfernt 3.) Combofix wie beschrieben deinstalliert... 4.) Habe mit SDFix einen Scan im abgesicherten Modus (Minimal ohne Netzwerk) gestartet, allerdings kommt (nachdem ich mit y und enter den scan gestartet hab) nur einige Zeilen an...."das System kann den angegebenen Pfad nicht finden" das wars mehr nicht (dauert nchtmal 5 Sekunden) 5.) hier der neue combofix log ComboFix 08-04-18.3 - Admin 2008-04-20 1:07:15.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.258 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-03-19 bis 2008-04-19 )))))))))))))))))))))))))))))) . 2008-04-20 00:31 . 2008-04-20 00:39 <DIR> d-------- C:\SDFix 2008-04-20 00:23 . 2008-04-20 00:23 <DIR> d-------- C:\Programme\CCleaner 2008-04-19 12:39 . 2008-04-19 13:51 <DIR> d-------- C:\fixwareout 2008-04-13 14:40 . 2008-04-13 14:39 691,545 --a------ C:\WINDOWS\unins000.exe 2008-04-13 14:40 . 2008-04-13 14:40 2,546 --a------ C:\WINDOWS\unins000.dat 2008-04-06 13:42 . 2008-04-06 13:42 313,283 --a------ C:\Programme\cwshredder.zip 2008-04-06 13:28 . 2008-04-06 13:37 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-04-06 13:28 . 2008-04-06 13:37 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-04-06 13:27 . 2008-04-06 13:28 <DIR> d-------- C:\Programme\Kaspersky Lab 2008-04-06 13:27 . 2008-04-19 14:30 2,847,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-04-06 13:27 . 2008-04-19 14:30 47,904 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-04-06 13:27 . 2008-04-19 14:30 25,172 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-06 13:27 . 2008-04-19 14:30 6,404 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-04-06 13:26 . 2008-04-06 13:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 52 Datei(en) . 3,315,090 C:\ComboFix\Bytes 47 Datei(en) . 18,162,777 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-19 23:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2008-04-17 10:21 --------- d-----w C:\Programme\Java 2008-04-13 13:17 --------- d-----w C:\Programme\Trillian 2008-04-13 12:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-04-13 12:43 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll 2007-04-11 18:52 92,064 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdm.sys 2007-04-11 18:52 9,232 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmmdfl.sys 2007-04-11 18:52 79,328 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmserd.sys 2007-04-11 18:52 66,656 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmbus.sys 2007-04-11 18:52 6,208 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcmnt.sys 2007-04-11 18:52 5,936 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmwhnt.sys 2007-04-11 18:52 4,048 ----a-w C:\Dokumente und Einstellungen\Admin\mqdmcr.sys 2007-04-11 18:52 25,600 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermptxp.sys 2007-04-11 18:52 22,768 ----a-w C:\Dokumente und Einstellungen\Admin\usbsermpt.sys 2006-02-28 06:27 145,408 ----a-w C:\Programme\msconfig.exe 2005-11-02 08:02 32,848 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2005-10-20 12:23 8,192 ----a-w C:\Dokumente und Einstellungen\Admin\test.reg 2005-07-09 01:44 777 ----a-w C:\Programme\trial_setup.ini 2005-02-17 15:06 1,568 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\mpauth.dat 2004-06-28 11:16 91 ----a-w C:\Programme\backup-20040628-131632-520 2004-06-28 11:11 87 ----a-w C:\Programme\backup-20040628-131148-494 2004-06-28 11:11 84 ----a-w C:\Programme\backup-20040628-131148-766 2004-06-28 11:11 73 ----a-w C:\Programme\backup-20040628-131148-952 2004-06-28 11:11 65 ----a-w C:\Programme\backup-20040628-131148-715 2004-06-28 11:11 108 ----a-w C:\Programme\backup-20040628-131148-798 2004-06-27 20:41 77 ----a-w C:\Programme\backup-20040627-224145-707 2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-939 2004-06-27 20:41 120 ----a-w C:\Programme\backup-20040627-224145-440 2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-618 2004-06-27 20:41 114 ----a-w C:\Programme\backup-20040627-224145-160 2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-803 2004-06-27 20:41 113 ----a-w C:\Programme\backup-20040627-224145-243 2004-06-27 19:04 81 ----a-w C:\Programme\backup-20040627-210407-204 2004-06-27 19:04 77 ----a-w C:\Programme\backup-20040627-210407-851 2004-06-27 19:04 74 ----a-w C:\Programme\backup-20040627-210407-432 2004-06-27 19:04 64 ----a-w C:\Programme\backup-20040627-210407-247 2004-06-27 19:04 58 ----a-w C:\Programme\backup-20040627-210407-535 2004-06-27 19:04 57 ----a-w C:\Programme\backup-20040627-210407-336 2004-06-27 19:04 123 ----a-w C:\Programme\backup-20040627-210407-630 2004-06-27 19:04 120 ----a-w C:\Programme\backup-20040627-210407-402 2004-06-25 11:27 775 -c--a-w C:\Programme\backup-20040625-132735-187 2004-06-25 11:27 2,866 ----a-w C:\Programme\backup-20040625-132741-830 2004-06-25 11:27 2,767 ----a-w C:\Programme\backup-20040625-132740-645 2004-06-25 11:27 2,631 ----a-w C:\Programme\backup-20040625-132740-217 2004-06-25 11:27 2,342 ----a-w C:\Programme\backup-20040625-132741-639 2004-06-25 11:27 2,308 ----a-w C:\Programme\backup-20040625-132736-233 2004-06-25 11:27 1,854 ----a-w C:\Programme\backup-20040625-132740-317 2004-06-25 11:27 1,767 ----a-w C:\Programme\backup-20040625-132739-864 2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132742-771 2004-06-25 11:27 1,335 ----a-w C:\Programme\backup-20040625-132736-747 2004-06-25 11:27 1,228 ----a-w C:\Programme\backup-20040625-132735-962 2004-06-15 08:55 345 ----a-w C:\Programme\backup-20040625-132735-962.inf 2004-06-02 13:30 9,728 ----a-w C:\Programme\backup-20040625-132736-747.dll 2004-06-02 10:04 238 ----a-w C:\Programme\backup-20040625-132736-747.inf 2004-05-10 10:22 238 ----a-w C:\Programme\backup-20040625-132742-771.inf 2004-03-28 01:48 205 ----a-w C:\Programme\backup-20040625-132741-639.inf 2004-03-17 15:36 2,140 ----a-w C:\Programme\backup-20040625-132740-217.inf 2004-01-29 11:55 521,760 ----a-w C:\Programme\backup-20040625-132736-233.dll 2004-01-22 23:08 1,278 ----a-w C:\Programme\INSTALL.LOG 2004-01-20 12:12 520,349 ----a-w C:\Programme\backup-20040625-132739-864.dll 2004-01-19 12:02 107,008 ----a-w C:\Programme\CWShredder.exe 2003-12-08 13:01 933,888 ----a-w C:\Programme\backup-20040625-132741-830.dll 2003-12-08 12:58 3,759 ----a-w C:\Programme\backup-20040625-132741-830.inf 2003-08-25 17:12 1,096 ----a-w C:\Programme\backup-20040625-132740-317.inf 2003-08-25 17:06 115,808 ----a-w C:\Programme\backup-20040625-132740-317.dll 2003-07-25 13:22 434,176 ----a-w C:\Programme\backup-20040625-132740-645.dll 2003-07-25 13:17 1,777 ----a-w C:\Programme\backup-20040625-132740-645.inf 2000-11-15 08:21 178,688 ----a-w C:\Programme\hjsplit.exe 2005-05-13 15:12 217,073 -csha-w C:\WINDOWS\meta4.exe 2005-10-24 09:13 66,560 -csha-w C:\WINDOWS\MOTA113.exe 2005-10-13 19:27 422,400 -csha-w C:\WINDOWS\x2.64.exe 2005-07-14 10:31 27,648 --sha-w C:\WINDOWS\system32\AVSredirect.dll 2005-06-26 13:32 616,448 --sha-w C:\WINDOWS\system32\cygwin1.dll 2005-06-21 20:37 45,568 --sha-w C:\WINDOWS\system32\cygz.dll 2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\i420vfw.dll 2005-12-22 18:23 816,640 --sha-w C:\WINDOWS\system32\smab.dll 2005-02-28 11:16 240,128 --sha-w C:\WINDOWS\system32\x.264.exe 2004-01-24 22:00 70,656 --sha-w C:\WINDOWS\system32\yv12vfw.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 16:53 307200] "TaskTray"="C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe" [2001-06-29 01:00 163840] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-07-20 21:07 7110656] "nwiz"="nwiz.exe" [2005-07-20 21:07 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-07-20 21:07 86016] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "Disc Detector"="C:\Programme\Creative\ShareDLL\CtNotify.exe" [2001-04-02 02:00 191488] "UpdReg"="C:\WINDOWS\Updreg.exe" [2000-05-11 01:00 90112] "CTStartup"="C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.exe" [2001-06-04 01:00 28672] "Jet Detection"="C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 14:52 28672] "SetIcon"="\Program Files\SMSC\Seticon.exe" [ ] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-10-10 21:03 180269] "USBDetector"="C:\USBStorage\USBDetector.exe" [2003-04-01 11:33 53248] "FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27 312320] "msnappau"="C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" [ ] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] "ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "SRUUninstall"="C:\WINDOWS\System32\msiexec.exe" [2005-05-04 14:45 78848] [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Last.fm Helper.lnk] path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Last.fm Helper.lnk backup=C:\WINDOWS\pss\Last.fm Helper.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite] --a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] --a------ 2007-03-14 19:05 257088 C:\Programme\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveSexCam_at] C:\Program Files\VCom\Dialers\LiveSexCam_at\LiveSexCam_at.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Update] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2004-05-28 22:22 4882432 C:\Programme\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NovaBackup 7 Tray Control] --a------ 2006-09-30 11:58 421888 C:\Programme\NovaStor\NovaBACKUP\NbkCtrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pmrr] C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\edla.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSPVideo9] C:\Programme\pspvideo9\pspVideo9.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-02-16 10:54 282624 C:\Programme\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteCenter] --------- 2001-07-03 01:30 122880 C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL] C:\WINDOWS\Downloaded Program Files\bridge.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] -rahs---- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskbar] --------- 2001-07-26 01:00 118784 C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2005-10-10 21:03 180269 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\eMule\\emule.exe"= "C:\\Programme\\Soulseek\\slsk.exe"= "C:\\Programme\\iTunes\\iTunes.exe"= "C:\\Programme\\ICQLite\\ICQLite.exe"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\Programme\\MSN Messenger\\msnmsgr.exe"= R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41] R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41] R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2005-07-25 04:38] R1 SSHDRV86;SSHDRV86;C:\WINDOWS\System32\drivers\SSHDRV86.sys [2005-06-15 15:08] R3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\system32\drivers\e10kx2k.sys [2001-07-13 14:29] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58] S3 SaitekPad;deviceX634 driver;C:\WINDOWS\system32\drivers\hidsaitek.sys [2002-05-23 12:17] . Inhalt des "geplante Tasks" Ordners "2007-04-11 18:36:30 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-20 01:11:08 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Disc Detector = C:\Programme\Creative\ShareDLL\CtNotify.exe?P ??X???????????????? C?????Disc Detector?B???A???????A?? ????B???@?$?@?? C?????U?@?????????@?B???A???????A?? ????B???@?????P???$?@?P ????????6~??????????@???????????????????B?????? ???????????????????`????????B CTStartup = C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???6~??6~???????? \???\???????$???U?6~??6~\??? \?????????_???????7~\???\??????s????\??????s\????&2?A??s?&2???7~??? Scanne versteckte Dateien... C:\WINDOWS\TEMP\WGANotify.settings 409 bytes C:\WINDOWS\TEMP\wpa2.tmp 181 bytes C:\WINDOWS\TEMP\wpdlog00.sqm 320 bytes C:\WINDOWS\TEMP\~DFE018.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE01C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE01D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE02E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE045.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE056.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE05E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE064.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE067.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE06F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE074.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE079.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE08B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE08E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE430.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE431.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE432.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE434.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE436.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE437.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE439.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE43E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE441.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE442.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE444.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE445.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE446.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE447.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE448.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE449.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE44D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE44F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4CA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4D1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4D3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4D5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4DA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4DE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4E3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4EF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4F1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4F4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4FB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE500.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE501.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE50E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE51A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE20B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE20F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE215.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE218.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE219.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE21F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE226.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE227.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE229.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE22E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE230.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE234.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE236.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE237.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE23A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE23D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE23F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE242.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE253.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE485.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE486.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE488.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE48B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE48C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE48D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE492.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE494.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE496.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE49F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4A8.tcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net C:\WINDOWS\TEMP\~DFE4AA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4AD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4AF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4BA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4BF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE39E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3A1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3A3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3AF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3B9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3BA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3BE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3C9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3CB.tmp 16384 bytes C:\WINDOWS\TEMP\cch~138af518c.htp 0 bytes C:\WINDOWS\TEMP\cch~1bd9d9c0f.htp 0 bytes C:\WINDOWS\TEMP\cch~1c82cbb84.htp 0 bytes C:\WINDOWS\TEMP\~DFE108.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE116.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE122.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE127.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE155.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE160.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE166.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE16D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE170.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE17B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE180.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE186.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE18B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE18E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE199.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE19A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE19C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE19F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1A1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1A2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2D9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2E0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2E4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2E8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2EF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2F3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2FA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2FD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2FF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE301.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE302.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE305.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE30C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE310.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE316.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE31C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE31D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE31F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE320.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE322.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE324.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE325.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE32B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE32C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE32E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE330.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE331.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE332.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE334.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE335.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE338.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1AC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1AE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1AF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1B1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1BB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1BD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1C2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1C3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1C5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1D5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1DC.tmp 16384 bcatchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net C:\WINDOWS\TEMP\~DFE1E9.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1EA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1EB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1ED.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1F3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1F4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1FB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE200.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE201.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE203.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE204.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE206.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE207.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE451.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE452.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE453.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE454.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE455.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE456.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE457.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE459.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE45B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE45E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE462.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE463.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE464.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE467.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE468.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE469.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE46D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE46F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE470.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE472.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE476.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE479.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE47C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE47D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE47E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE480.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE482.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE340.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE341.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE342.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE343.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE344.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE345.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE346.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE347.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE348.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE349.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE34F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE350.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE351.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE352.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE353.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE354.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE356.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3FF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE400.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE403.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE404.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE405.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE406.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE409.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE40F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE410.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE414.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE416.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE418.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE419.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE41A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE41D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE41F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE421.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE422.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE424.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE425.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE426.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE428.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE429.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE42B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE42D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE547.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE553.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE55F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE567.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE569.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE578.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE582.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE589.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE591.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE59B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE5A6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE5B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE5F1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE608.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE610.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE628.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE63B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE64E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE668.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE670.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE686.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6B7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6C2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6ED.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE6F2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE703.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE729.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE75D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE7A3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE808.tmp 16384 bytes C:\WINDOWS\TEMP\~DFEFEA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0AD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0B5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0C0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0C7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0C8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0CE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0D0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0D6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0DD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0E0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0E6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0E7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0EB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0F2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0F6.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0F8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE0FD.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE100.tmp 16384 bytes C:\WINDOWS\TEMP\cch~10b85ab5f.htp 0 bytes C:\WINDOWS\TEMP\cch~10b85b8da.htp 0 bytes C:\WINDOWS\TEMP\cch~10bb81944.htp 0 bytes C:\WINDOWS\TEMP\cch~10bb823bd.htp 0 bytes C:\WINDOWS\TEMP\cch~10bf28695.htp 0 bytes C:\WINDOWS\TEMP\cch~10bf28f89.htp 0 bytes C:\WINDOWS\TEMP\cch~10c51f9f6.htp 0 bytes C:\WINDOWS\TEMP\cch~10cb8e5ad.htp 0 bytes C:\WINDOWS\TEMP\cch~4e3ff2d0.htp 0 bytes C:\WINDOWS\TEMP\cch~4e527275d.htp 0 bytes C:\WINDOWS\TEMP\cch~4e52c082e.htp 0 bytes C:\WINDOWS\TEMP\~DFE358.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE359.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35C.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE35F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE360.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE361.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE362.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE363.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE364.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE365.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE366.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE367.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE368.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE369.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE36B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE36D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE36F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE371.tmp 16384 bytes C:\WINDOWS\TEMP\cch~11c390d70.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3cc73c.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3cd156.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3d2ae7.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3d3400.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3d507e.htp 0 bytes C:\WINDOWS\TEMP\cch~11c442e27.htp 0 bytes C:\WINDOWS\TEMP\cch~11c443828.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44579b.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44d067.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44ddc6.htp 0 bytes C:\WINDOWS\TEMP\cch~11c44e6dd.htp 0 bytes C:\WINDOWS\TEMP\cch~22016621a.htp C:\WINDOWS\TEMP\cch~220166c96.htp C:\WINDOWS\TEMP\cch~220198cf0.htp C:\WINDOWS\TEMP\cch~220199538.htp C:\WINDOWS\TEMP\cch~22317cd0e.htp C:\WINDOWS\TEMP\cch~22317d562.htp C:\WINDOWS\TEMP\cch~223743ae6.htp C:\WINDOWS\TEMP\cch~2237444c6.htp C:\WINDOWS\TEMP\cch~11c281962.htp 0 bytes C:\WINDOWS\TEMP\cch~11c282308.htp 0 bytes C:\WINDOWS\TEMP\cch~11c283013.htp 0 bytes C:\WINDOWS\TEMP\cch~11c283a56.htp 0 bytes C:\WINDOWS\TEMP\cch~11c29ded3.htp 0 bytes C:\WINDOWS\TEMP\cch~11c29e7f9.htp 0 bytes C:\WINDOWS\TEMP\cch~11c29f5c0.htp 0 bytes C:\WINDOWS\TEMP\cch~11c29ff18.htp 0 bytes C:\WINDOWS\TEMP\cch~11c2aa942.htp 0 bytes C:\WINDOWS\TEMP\cch~11c2ab2ef.htp 0 bytes C:\WINDOWS\TEMP\cch~11c35cf38.htp 0 bytes C:\WINDOWS\TEMP\cch~11c35da6e.htp 0 bytes C:\WINDOWS\TEMP\cch~11c3672b8.htp 0 bytes C:\WINDOWS\TEMP\cch~11c367ca5.htp 0 bytes C:\WINDOWS\TEMP\cch~11c37f1ee.htp 0 bytes C:\WINDOWS\TEMP\cch~11c37fc31.htp 0 bytes C:\WINDOWS\TEMP\~DFE373.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE374.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE375.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37A.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37B.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37D.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE37F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE380.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE383.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE384.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE386.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE389.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE38E.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE38F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE392.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE393.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE395.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE396.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE397.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE398.tmp 16384 bytes C:\WINDOWS\TEMP\cch~9bd460ab.htp 0 bytes C:\WINDOWS\TEMP\cch~9bd5b74c.htp 0 bytes C:\WINDOWS\TEMP\cch~9bd9c17f.htp 0 bytes C:\WINDOWS\TEMP\cch~9be1907a.htp 0 bytes C:\WINDOWS\TEMP\~DFE3D1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DB.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3DF.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E1.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E4.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E5.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3E8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3EA.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3EC.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3ED.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3EE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F0.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F3.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F6.tmp 16384 bytes C:\WINDOWS\TEMP\cch~9c61255c.htp 0 bytes C:\WINDOWS\TEMP\cch~9c66b47c.htp 0 bytes C:\WINDOWS\TEMP\cch~9c6c3b19.htp 0 bytes C:\WINDOWS\TEMP\cch~a18ce1ea.htp 0 bytes C:\WINDOWS\TEMP\cch~a198423d.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc37196.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc76443.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc76d3e.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc7f674.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc838a4.htp 0 bytes C:\WINDOWS\TEMP\cch~10cd8315e.htp 0 bytes C:\WINDOWS\TEMP\cch~10cd8d847.htp 0 bytes C:\WINDOWS\TEMP\cch~10ce1a002.htp 0 bytes C:\WINDOWS\TEMP\cch~10ce24585.htp 0 bytes C:\WINDOWS\TEMP\cch~10ceef914.htp 0 bytes C:\WINDOWS\TEMP\cch~10cef152c.htp 0 bytes C:\WINDOWS\TEMP\cch~10cf0383a.htp 0 bytes C:\WINDOWS\TEMP\cch~10cf0a51f.htp 0 bytes C:\WINDOWS\TEMP\~DFE107.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE1A7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE208.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE256.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE2D8.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE33F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE357.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE372.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE399.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3CE.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE3F7.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE42F.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE450.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE483.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE4C2.tmp 16384 bytes C:\WINDOWS\TEMP\~DFE533.tmp 16384 bytes C:\WINDOWS\TEMP\cch~18c7aa7b9.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1b737ad.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1b742bd.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1c82bc5.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1cd7cf0.htp 0 bytes C:\WINDOWS\TEMP\cch~1a1f746de.htp 0 bytes C:\WINDOWS\TEMP\cch~1a6289700.htp 0 bytes C:\WINDOWS\TEMP\cch~1a670027e.htp 0 bytes C:\WINDOWS\TEMP\cch~1b9eb26de.htp 0 bytes C:\WINDOWS\TEMP\cch~10e2095d1.htp 0 bytes C:\WINDOWS\TEMP\cch~10e228ff5.htp 0 bytes C:\WINDOWS\TEMP\cch~2c8e27fc.htp 0 bytes C:\WINDOWS\TEMP\cch~2c956425.htp 0 bytes C:\WINDOWS\TEMP\~DFE3D2.tmp 16384 bytes C:\WINDOWS\TEMP\cch~4e55a1e06.htp 0 bytes C:\WINDOWS\TEMP\cch~75e571ed.htp 0 bytes C:\WINDOWS\TEMP\cch~391ac562.htp 0 bytes C:\WINDOWS\TEMP\cch~39733f1c.htp 0 bytes C:\WINDOWS\TEMP\cch~4e2fd660.htp 0 bytes C:\WINDOWS\TEMP\cch~4e373f4d.htp 0 bytes C:\WINDOWS\TEMP\cch~7610c3c6.htp 0 bytes C:\WINDOWS\TEMP\cch~7610d77d.htp 0 bytes C:\WINDOWS\TEMP\cch~7780bbdc.htp 0 bytes C:\WINDOWS\TEMP\cch~77d6c0ef.htp 0 bytes C:\WINDOWS\TEMP\cch~7838f56c.htp 0 bytes C:\WINDOWS\TEMP\cch~783b094a.htp 0 bytes C:\WINDOWS\TEMP\cch~36ebe600.htp 0 bytes C:\WINDOWS\TEMP\cch~809bda15.htp 0 bytes C:\WINDOWS\TEMP\cch~809e16b8.htp 0 bytes C:\WINDOWS\TEMP\cch~783ba6ea.htp 0 bytes C:\WINDOWS\TEMP\cch~808ae3c7.htp 0 bytes C:\WINDOWS\TEMP\cch~2c95e876.htp 0 bytes C:\WINDOWS\TEMP\cch~3913cfbe.htp 0 bytes C:\WINDOWS\TEMP\cch~397d91a3.htp 0 bytes C:\WINDOWS\TEMP\cch~4e3af727.htp 0 bytes C:\WINDOWS\TEMP\cch~4e5349f81.htp 0 bytes C:\WINDOWS\TEMP\cch~4e55b5b97.htp 0 bytes C:\WINDOWS\TEMP\cch~760ab73a.htp 0 bytes C:\WINDOWS\TEMP\cch~761fb3b0.htp 0 bytes C:\WINDOWS\TEMP\cch~783b3214.htp 0 bytes C:\WINDOWS\TEMP\cch~80919db1.htp 0 bytes C:\WINDOWS\TEMP\cch~809e2933.htp 0 bytes C:\WINDOWS\TEMP\cch~82ffdc09.htp 0 bytes C:\WINDOWS\TEMP\cch~9bd0e42f.htp 0 bytes C:\WINDOWS\TEMP\cch~9be9f4db.htp 0 bytes C:\WINDOWS\TEMP\cch~a19937db.htp 0 bytes C:\WINDOWS\TEMP\cch~cd56b844.htp 0 bytes C:\WINDOWS\TEMP\WGAErrLog.txt 255 bytes C:\WINDOWS\TEMP\cch~82bafd29.htp 0 bytes C:\WINDOWS\TEMP\cch~11da24d6c.htp 0 bytes C:\WINDOWS\TEMP\cch~11da25686.htp 0 bytes C:\WINDOWS\TEMP\cch~9baeede3.htp 0 bytes C:\WINDOWS\TEMP\cch~9bbdea49.htp 0 bytes C:\WINDOWS\TEMP\cch~9bcb8ef8.htp 0 bytes C:\WINDOWS\TEMP\cch~9bcedfa1.htp 0 bytes C:\WINDOWS\TEMP\cch~cd41e2b9.htp 0 bytes C:\WINDOWS\TEMP\cch~cd54dc2a.htp 0 bytes C:\WINDOWS\TEMP\cch~11dbe8313.htp 0 bytes C:\WINDOWS\TEMP\cch~11dbe8c54.htp 0 bytes C:\WINDOWS\TEMP\cch~11dd69712.htp 0 bytes C:\WINDOWS\TEMP\cch~11dd6d7a7.htp 0 bytes C:\WINDOWS\TEMP\cch~11f3cf1c3.htp 0 bytes C:\WINDOWS\TEMP\cch~11f3cff36.htp 0 bytes C:\WINDOWS\TEMP\cch~12fe36df7.htp 0 bytes C:\WINDOWS\TEMP\cch~12fe376b5.htp 0 bytes C:\WINDOWS\TEMP\cch~131bdd81b.htp 0 bytes C:\WINDOWS\TEMP\cch~131bde23b.htp 0 bytes C:\WINDOWS\TEMP\cch~13266f924.htp 0 bytes C:\WINDOWS\TEMP\cch~cdc79259.htp 0 bytes C:\WINDOWS\TEMP\dd_depcheck_NETFX20_EXP_35.txt 21336 bytes C:\WINDOWS\TEMP\dd_dotnetfx20error.txt 2 bytes C:\WINDOWS\TEMP\dd_dotnetfx20install.txt 80078 bytes C:\WINDOWS\TEMP\dd_NET_Framework20_Setup33C8.txt 10125494 bytes C:\WINDOWS\TEMP\fpRedmon.log 430 bytes C:\WINDOWS\TEMP\KAV6Upgrade C:\WINDOWS\TEMP\KAV6Upgrade\lic.dat 1010 bytes C:\WINDOWS\TEMP\KAV6Upgrade\upgrade.log 12638 bytes C:\WINDOWS\TEMP\netfxsl.log 25824 bytes C:\WINDOWS\TEMP\netfxupdate.log 1419 bytes C:\WINDOWS\TEMP\NetFxUpdate_v1.1.4322.log 7802 bytes C:\WINDOWS\TEMP\PR158.tmp 1587366704 bytes C:\WINDOWS\TEMP\PR275.tmp 280494080 bytes executable C:\WINDOWS\TEMP\uxeventlog.txt 16182 bytes C:\WINDOWS\TEMP\cch~13279a91a.htp 0 bytes C:\WINDOWS\TEMP\cch~1327b8f2b.htp 0 bytes C:\WINDOWS\TEMP\cch~1327b99a5.htp 0 bytes C:\WINDOWS\TEMP\cch~1327be538.htp 0 bytes C:\WINDOWS\TEMP\cch~1327beef3.htp 0 bytes C:\WINDOWS\TEMP\cch~1327c5db1.htp 0 bytes C:\WINDOWS\TEMP\cch~1327cb736.htp 0 bytes C:\WINDOWS\TEMP\cch~1327ccd5b.htp 0 bytes C:\WINDOWS\TEMP\cch~1327d7ff7.htp 0 bytes C:\WINDOWS\TEMP\cch~1327d8b82.htp 0 bytes C:\WINDOWS\TEMP\cch~1327ee7ef.htp 0 bytes C:\WINDOWS\TEMP\cch~1327eea7e.htp 0 bytes C:\WINDOWS\TEMP\cch~1327fc29c.htp 0 bytes C:\WINDOWS\TEMP\cch~1327fd9b6.htp 0 bytes C:\WINDOWS\TEMP\cch~132800048.htp 0 bytes C:\WINDOWS\TEMP\cch~132801d55.htp 0 bytes C:\WINDOWS\TEMP\cch~1328213e7.htp 0 bytes C:\WINDOWS\TEMP\cch~1328dc1ab.htp 0 bytes C:\WINDOWS\TEMP\cch~1328ddfcc.htp 0 bytes C:\WINDOWS\TEMP\cch~132905fc8.htp 0 bytes C:\WINDOWS\TEMP\cch~132906a15.htp 0 bytes C:\WINDOWS\TEMP\cch~13290adbb.htp 0 bytes C:\WINDOWS\TEMP\cch~13290baf4.htp 0 bytes C:\WINDOWS\TEMP\cch~13290f2ec.htp 0 bytes C:\WINDOWS\TEMP\cch~132910584.htp 0 bytes C:\WINDOWS\TEMP\cch~13292c42a.htp 0 bytes C:\WINDOWS\TEMP\cch~1329535e2.htp 0 bytes C:\WINDOWS\TEMP\cch~1329554f3.htp 0 bytes C:\WINDOWS\TEMP\cch~1366eaf5e.htp 0 bytes C:\WINDOWS\TEMP\cch~1366eb7fa.htp 0 bytes C:\WINDOWS\TEMP\cch~13670fc30.htp 0 bytes C:\WINDOWS\TEMP\cch~13670feff.htp 0 bytes C:\WINDOWS\TEMP\cch~1367176fc.htp 0 bytes C:\WINDOWS\TEMP\cch~13671b28c.htp 0 bytes C:\WINDOWS\TEMP\cch~13672473f.htp 0 bytes C:\WINDOWS\TEMP\cch~13674e7d3.htp 0 bytes C:\WINDOWS\TEMP\cch~13675c856.htp 0 bytes C:\WINDOWS\TEMP\cch~1367ba48f.htp 0 bytes C:\WINDOWS\TEMP\cch~1367bfa38.htp 0 bytes C:\WINDOWS\TEMP\cch~136810223.htp 0 bytes C:\WINDOWS\TEMP\cch~136810b41.htp 0 bytes C:\WINDOWS\TEMP\cch~136822bd9.htp 0 bytes C:\WINDOWS\TEMP\cch~1368238ff.htp 0 bytes C:\WINDOWS\TEMP\cch~136826f72.htp 0 bytes C:\WINDOWS\TEMP\cch~1368b9567.htp 0 bytes C:\WINDOWS\TEMP\cch~1368c29e0.htp 0 bytes C:\WINDOWS\TEMP\cch~1368cad2e.htp 0 bytes C:\WINDOWS\TEMP\cch~1368d05dd.htp 0 bytes C:\WINDOWS\TEMP\cch~1368d2423.htp 0 bytes C:\WINDOWS\TEMP\cch~136907a2d.htp 0 bytes C:\WINDOWS\TEMP\cch~136908336.htp 0 bytes C:\WINDOWS\TEMP\cch~13692b9e4.htp 0 bytes C:\WINDOWS\TEMP\cch~13692d253.htp 0 bytes C:\WINDOWS\TEMP\cch~136952e0c.htp 0 bytes C:\WINDOWS\TEMP\cch~13695412a.htp 0 bytes C:\WINDOWS\TEMP\cch~136956c30.htp 0 bytes C:\WINDOWS\TEMP\cch~136960a64.htp 0 bytes C:\WINDOWS\TEMP\cch~13696126b.htp 0 bytes C:\WINDOWS\TEMP\cch~136961f08.htp 0 bytes C:\WINDOWS\TEMP\cch~136963536.htp 0 bytes C:\WINDOWS\TEMP\cch~21a72c713.htp 8192 bytes C:\WINDOWS\TEMP\cch~1bd9f4518.htp 0 bytes C:\WINDOWS\TEMP\cch~1c82cb213.htp 0 bytes C:\WINDOWS\TEMP\cch~10cc36444.htp 0 bytes C:\WINDOWS\TEMP\cch~10e1ee6b1.htp 0 bytes C:\WINDOWS\TEMP\cch~10e22a1af.htp 0 bytes C:\WINDOWS\TEMP\cch~11c390342.htp 0 bytes C:\WINDOWS\TEMP\cch~11d963632.htp 0 bytes C:\WINDOWS\TEMP\cch~11db34b30.htp 0 bytes C:\WINDOWS\TEMP\cch~132670208.htp 0 bytes C:\WINDOWS\TEMP\cch~132820abe.htp 0 bytes C:\WINDOWS\TEMP\cch~136716e14.htp 0 bytes C:\WINDOWS\TEMP\cch~1368d11d3.htp 0 bytes C:\WINDOWS\TEMP\cch~21bb5ac01.htp 8192 bytes C:\WINDOWS\TEMP\cch~23b61fc6c.htp 0 bytes C:\WINDOWS\TEMP\cch~20fc601a5.htp C:\WINDOWS\TEMP\cch~26aee16a7.htp 8192 bytes C:\WINDOWS\TEMP\~DFE0AC.tmp 16384 bytes C:\WINDOWS\TEMP\cch~138959a0f.htp 0 bytes C:\WINDOWS\TEMP\cch~13898577b.htp 0 bytes C:\WINDOWS\TEMP\cch~138994d5c.htp 0 bytes C:\WINDOWS\TEMP\cch~1389f7328.htp 0 bytes C:\WINDOWS\TEMP\cch~138a67638.htp 0 bytes C:\WINDOWS\TEMP\cch~138b17e76.htp 0 bytes C:\WINDOWS\TEMP\cch~138b56322.htp 0 bytes C:\WINDOWS\TEMP\cch~138b58038.htp 0 bytes C:\WINDOWS\TEMP\cch~13a20e2b9.htp 0 bytes C:\WINDOWS\TEMP\cch~1c8538b60.htp 0 bytes C:\WINDOWS\TEMP\cch~26aee0938.htp 8192 bytes Scan erfolgreich abgeschlossen versteckte Dateien: 662 ************************************************************************** . Zeit der Fertigstellung: 2008-04-20 1:13:49 ComboFix-quarantined-files.txt 2008-04-19 23:13:19 ComboFix2.txt 2008-04-19 11:44:23 16 Verzeichnis(se), 8,625,213,440 Bytes frei 18 Verzeichnis(se), 8,603,570,176 Bytes frei 884 --- E O F --- 2008-04-16 05:01:09 6.) hier der neue HiJackThis Log... Logfile of HijackThis v1.99.1 Scan saved at 01:37:03, on 20.04.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\USBStorage\USBDetector.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [SetIcon] \Program Files\SMSC\Seticon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O15 - Trusted Zone: http://www.gamers.at O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129803779734 O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
20.04.2008, 13:08
Ehrenmitglied
Beiträge: 29434 |
#8
««
wird die comaloc.dll noch gefunden ? «« damit kann ich nix anfangen, du musst die Ergebnisse direkt abkopieren !! Zitat C:\Programme\msconfig.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.04.2008, 13:43
Member
Themenstarter Beiträge: 26 |
#9
ja die wird immer noch gefunden.
Kann Kaspersky noch immer nicht starten, deswegen hab ichs im abgesicherten Modus versucht und eben da findet er die datei noch immer als trojanisches pferd. hab die dateien jetzt analysieren lassen von der seite, hoffe du meinst das - hier die ergebnisse... Datei msconfig.exe empfangen 2008.04.20 13:23:53 (CET) Status: Beendet Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.18 - Authentium 4.93.8 2008.04.19 - Avast 4.8.1169.0 2008.04.19 - AVG 7.5.0.516 2008.04.19 - BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 - ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.19 - eSafe 7.0.15.0 2008.04.17 - eTrust-Vet 31.3.5714 2008.04.19 - Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.19 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26 2008.04.20 - Kaspersky 7.0.0.125 2008.04.20 - McAfee 5277 2008.04.18 - Microsoft 1.3408 2008.04.20 - NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.19 - Prevx1 V2 2008.04.20 - Rising 20.40.62.00 2008.04.20 - Sophos 4.28.0 2008.04.20 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 - TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.19 - Webwasher-Gateway 6.6.2 2008.04.18 - weitere Informationen File size: 145408 bytes MD5...: c574151933a88e69ee08ce6ad0ac37b4 SHA1..: 56f464ed3b138d75a78414b92e39f624e021923d SHA256: 82e1137d6cfdb678acb616221394720c746bba75f335205bed47e043069fb6ae SHA512: 15b15c9def37a2132d6d3e1901eed06aa8a2887e11e725766b038c9a639fad6a ece1977a6f489fa1bef4a09bb45a0119c8557e2b9a5f6e9eeee7fa48b868d31d PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10178b6 timedatestamp.....: 0x3d6dd8b4 (Thu Aug 29 08:17:56 2002) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1b4fc 0x1b600 6.09 517adefa8d9c8a27868237fa94ed9ac6 .data 0x1d000 0x107c 0x1000 4.52 b0633db86559c72fd078ec1931826c18 .rsrc 0x1f000 0x6da8 0x6e00 3.92 3548daa108fd6f2327ebf396c87ea4b1 ( 10 imports ) > MFC42u.DLL: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > msvcrt.dll: wcscmp, _wcsicmp, wcscpy, _wmakepath, wcsncmp, wcslen, wcsncpy, _wtoi, _wtol, ceil, _ftol, malloc, free, realloc, iswdigit, _c_exit, _exit, _CxxThrowException, exit, _wcmdln, __wgetmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, __CxxFrameHandler, _itow, wcscat, _terminate@@YAXXZ, __1type_info@@UAE@XZ, __dllonexit, _onexit, _controlfp, _except_handler3, wcscoll, _purecall, _XcptFilter, _cexit > ADVAPI32.dll: RegCreateKeyExW, RegQueryValueExA, RegCloseKey, RegQueryValueExW, RegSetValueExW, RegOpenKeyExW, QueryServiceConfigW, RegDeleteValueW, CloseServiceHandle, ChangeServiceConfigW, OpenServiceW, OpenSCManagerW, EnumServicesStatusW, RegDeleteKeyW, RegOpenKeyExA, RegEnumKeyExW, RegEnumValueW, RegQueryInfoKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken > KERNEL32.dll: FindNextFileW, FindClose, CreateThread, WaitForSingleObject, MoveFileExW, GetLastError, GetDriveTypeW, GetSystemDirectoryW, lstrlenW, GetCurrentThreadId, GlobalAlloc, lstrlenA, CloseHandle, ReadFile, GetFileSize, CreateFileW, SetEndOfFile, WriteFile, SetFilePointer, SetFileAttributesW, GetFileAttributesW, lstrcmpW, GlobalMemoryStatus, GetSystemInfo, GlobalUnlock, GlobalLock, FindFirstFileW, GlobalFree, GlobalHandle, FindResourceW, CreateSemaphoreW, CreateDirectoryW, lstrcpyW, lstrcmpiW, lstrcpynW, InitializeCriticalSection, HeapDestroy, DeleteCriticalSection, lstrcatW, GetModuleFileNameW, FreeLibrary, GetProcAddress, LoadLibraryW, GetModuleHandleW, SizeofResource, LoadLibraryExW, GetShortPathNameW, GetCommandLineW, OpenProcess, GetCurrentProcessId, GetModuleHandleA, GetStartupInfoW, DeleteFileW, CopyFileW, ExpandEnvironmentStringsW, MultiByteToWideChar, WideCharToMultiByte, FlushInstructionCache, GetCurrentProcess, HeapFree, GetProcessHeap, HeapAlloc, LeaveCriticalSection, FreeResource, EnterCriticalSection, LockResource, LoadLibraryA, LoadResource > GDI32.dll: DeleteObject, CreateCompatibleBitmap, CreateCompatibleDC, BitBlt, DeleteDC, GetStockObject, GetObjectW, GetDeviceCaps, SelectObject, GetTextMetricsW, GetTextExtentPoint32W, CreateSolidBrush > USER32.dll: IsWindow, ExitWindowsEx, SetForegroundWindow, GetLastActivePopup, FindWindowW, IsIconic, CharNextW, LoadIconW, GetActiveWindow, DialogBoxIndirectParamW, RegisterWindowMessageW, GetWindowTextLengthW, GetWindowTextW, SetWindowTextW, CreateWindowExW, GetClassInfoExW, LoadCursorW, RegisterClassExW, CreateAcceleratorTableW, CheckDlgButton, EnableWindow, SendMessageW, GetClientRect, GetFocus, MessageBoxW, IsWindowEnabled, ShowWindow, PostMessageW, SetFocus, GetParent, CallWindowProcW, SetWindowLongW, GetWindowLongW, ScreenToClient, GetMessagePos, GetProcessDefaultLayout, ReleaseDC, GetDC, GetAsyncKeyState, DefWindowProcW, GetSysColor, GetDesktopWindow, ReleaseCapture, SetCapture, InvalidateRect, InvalidateRgn, GetWindow, IsChild, EndPaint, FillRect, BeginPaint, GetDlgItem, SetWindowPos, wsprintfW, RedrawWindow, GetClassNameW, DestroyWindow, EndDialog, GetDlgItemTextW, IsDlgButtonChecked, SetDlgItemTextW > OLEAUT32.dll: -, -, -, -, -, -, -, -, - > ole32.dll: CoTaskMemRealloc, CoInitializeEx, CoRevokeClassObject, OleUninitialize, OleInitialize, CreateStreamOnHGlobal, CLSIDFromString, CLSIDFromProgID, OleLockRunning, CoTaskMemAlloc, StringFromCLSID, CoTaskMemFree, CoInitialize, CoCreateInstance, CoUninitialize, CoRegisterClassObject > VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW > SHELL32.dll: SHGetSpecialFolderPathW, ShellExecuteW, SHGetMalloc, SHBrowseForFolderW, SHGetPathFromIDListW ( 0 exports ) --------------------------------------------------------------------------- Datei hjsplit.exe empfangen 2008.04.20 13:34:02 (CET) Status: Beendet Ergebnis: 3/32 (9.38%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.18 - Authentium 4.93.8 2008.04.19 - Avast 4.8.1169.0 2008.04.19 - AVG 7.5.0.516 2008.04.19 - BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 (Suspicious) - DNAScan ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.19 - eSafe 7.0.15.0 2008.04.17 Suspicious File eTrust-Vet 31.3.5714 2008.04.19 - Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.19 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26.0 2008.04.20 - Kaspersky 7.0.0.125 2008.04.20 - McAfee 5277 2008.04.18 - Microsoft 1.3408 2008.04.20 - NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.19 - Prevx1 V2 2008.04.20 - Rising 20.40.62.00 2008.04.20 - Sophos 4.28.0 2008.04.20 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 - TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.19 - Webwasher-Gateway 6.6.2 2008.04.18 Win32.Malware.gen!88 (suspicious) weitere Informationen File size: 178688 bytes MD5...: 51fa95185555406f2126345578f6ffe4 SHA1..: 32522f1db963d1d6c2b4c219d36afb244000c4da SHA256: 45905a2ddb59d7e0f223b32672245c84b808b539e6306fe0143eb98ff60debb6 SHA512: ea6fe2fdb50e00ab4144787ad9ffd91777a9bc5a82dff3ea346eb129cae02f8c 3918bfa45375307c6b55439822974df5819cdb8fd37dc2ce00bdda3d20c2db8b PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x425cec timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992) machinetype.......: 0x14c (I386) ( 9 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x51000 0x24e00 7.94 c92c46629fad5f0cf8ec0bb45531c2be DATA 0x52000 0x1000 0x800 6.85 0ceaa25e629180b703da211426e4c5fc BSS 0x53000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x54000 0x3000 0xe00 7.44 f21112eb463f8d5492c7af8a1d508695 .tls 0x57000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x58000 0x1000 0x200 0.31 52b3e4fd7a628784b3186ccd5dae4344 .reloc 0x59000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rsrc 0x60000 0x27000 0x4200 7.27 623a956f0f44dd0e43bdfa3c42e76989 .data 0x87000 0x1000 0xe00 4.20 68ce1fda67bc760a9d555ce0240e5312 ( 1 imports ) > KERNEL32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA ( 0 exports ) packers (Kaspersky): ASPack Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=51fa95185555406f2126345578f6ffe4 packers (F-Prot): Aspack ---------------------------------------------------------------------------- Datei cscript.exe empfangen 2008.04.20 13:38:16 (CET) Status: Beendet Ergebnis: 0/32 (0%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.4.19.0 2008.04.18 - AntiVir 7.8.0.8 2008.04.18 - Authentium 4.93.8 2008.04.19 - Avast 4.8.1169.0 2008.04.19 - AVG 7.5.0.516 2008.04.19 - BitDefender 7.2 2008.04.20 - CAT-QuickHeal 9.50 2008.04.19 - ClamAV 0.92.1 2008.04.20 - DrWeb 4.44.0.09170 2008.04.19 - eSafe 7.0.15.0 2008.04.17 - eTrust-Vet 31.3.5714 2008.04.19 - Ewido 4.0 2008.04.20 - F-Prot 4.4.2.54 2008.04.20 - F-Secure 6.70.13260.0 2008.04.19 - FileAdvisor 1 2008.04.20 - Fortinet 3.14.0.0 2008.04.20 - Ikarus T3.1.1.26 2008.04.20 - Kaspersky 7.0.0.125 2008.04.20 - McAfee 5277 2008.04.18 - Microsoft 1.3408 2008.04.20 - NOD32v2 3041 2008.04.19 - Norman 5.80.02 2008.04.18 - Panda 9.0.0.4 2008.04.19 - Prevx1 V2 2008.04.20 - Rising 20.40.62.00 2008.04.20 - Sophos 4.28.0 2008.04.20 - Sunbelt 3.0.1056.0 2008.04.17 - Symantec 10 2008.04.20 - TheHacker 6.2.92.285 2008.04.19 - VBA32 3.12.6.4 2008.04.16 - VirusBuster 4.3.26:9 2008.04.19 - Webwasher-Gateway 6.6.2 2008.04.18 - weitere Informationen File size: 98304 bytes MD5...: ee1f8828849acdef60e7df9c25a715ab SHA1..: 4c80600074898af5551e24095edd6a2223fa17bb SHA256: 2e6be76ba70701e04f4567e1ca271bee6c99ee9be24c962abbda84458d153e42 SHA512: b194e0e0d36e19f585f24979c2d37113641303e9973d23cce8b23477cacfa5bf 95799369ff4c82d56e074cae776c13a076d0f60f538b7800e740495c6b58faf5 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1002842 timedatestamp.....: 0x41107bbb (Wed Aug 04 06:01:31 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xd288 0xe000 6.26 220fa096045834c6592c3892f717a7e3 .data 0xf000 0x1ec 0x1000 0.35 8a13609b6a451e847ce8e238d070e47c .rsrc 0x10000 0x7c90 0x8000 4.16 98def3e2d7818fa400e96e282a44e05e ( 8 imports ) > msvcrt.dll: __2@YAPAXI@Z, _vsnprintf, malloc, free, _ftol, _itow, __3@YAXPAX@Z, _except_handler3, wcsrchr > KERNEL32.dll: GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, CreateFileMappingA, MapViewOfFile, UnmapViewOfFile, GetCurrentProcessId, GetPrivateProfileIntA, GetTickCount, GetPrivateProfileStringW, GetPrivateProfileStringA, GetFullPathNameW, GetFullPathNameA, GetLocaleInfoA, lstrlenA, GetPrivateProfileIntW, GetCurrentThreadId, lstrcpyA, HeapReAlloc, HeapAlloc, GetProcessHeap, HeapFree, FreeLibrary, GetSystemDirectoryA, QueryPerformanceCounter, GetModuleHandleA, GetCommandLineW, GetCommandLineA, MultiByteToWideChar, ExitProcess, GetStdHandle, lstrlenW, WideCharToMultiByte, GetLastError, WriteConsoleW, WriteFile, GetFileType, GetFileSize, CreateFileW, CreateEventA, GetCPInfo, GetACP, FindClose, FindFirstFileA, GetFileAttributesA, FindFirstFileW, GetFileAttributesW, LocalFree, FormatMessageA, LocalAlloc, FormatMessageW, GetProcAddress, LoadLibraryA, InitializeCriticalSection, GetModuleFileNameA, GetModuleFileNameW, DeleteCriticalSection, SetEvent, CloseHandle, CreateThread, GetTempPathA, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InterlockedIncrement, InterlockedDecrement, GetUserDefaultLCID, FlushFileBuffers, CreateFileA, GetTempFileNameA > OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > ole32.dll: CreateFileMoniker, CoCreateInstance, CoInitializeSecurity, CreateBindCtx, CoRegisterMessageFilter, CLSIDFromString, CoInitialize, CoUninitialize, CoGetClassObject, MkParseDisplayName, CLSIDFromProgID > VERSION.dll: GetFileVersionInfoSizeW, GetFileVersionInfoW, VerQueryValueA, GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueW > IMM32.dll: ImmGetDefaultIMEWnd > ADVAPI32.dll: RegSetValueExA, RegQueryValueExW, RegQueryValueExA, RegCreateKeyExW, RegCreateKeyExA, RegOpenKeyExW, RegOpenKeyExA, ImpersonateLoggedOnUser, IsTextUnicode, RegisterEventSourceW, GetUserNameW, LookupAccountNameW, ReportEventW, DeregisterEventSource, RegCloseKey, RegSetValueExW > USER32.dll: LoadStringA, LoadStringW, CharNextA, GetActiveWindow, GetClassInfoA, RegisterClassA, CreateWindowExA, GetMessageA, GetWindowLongA, SetWindowLongA, SetTimer, DefWindowProcA, PostQuitMessage, KillTimer, EnumThreadWindows, IsWindowVisible, PostMessageA, SendMessageA, MsgWaitForMultipleObjects, PeekMessageA, TranslateMessage, DispatchMessageA, GetParent, wsprintfW, wsprintfA ( 0 exports ) |
|
|
||
20.04.2008, 13:54
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo,
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden PC neustarten ----------------------------------------------------- «« wende sdifx im abgesicherten Modus an + poste hier den report http://virus-protect.org/artikel/tools/sdfix.html «« scanne mit Windowsdefender + berichte http://virus-protect.org/ms.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Habe bei dem Rechner meiner Eltern zufällig gesehen, dass Kaspersky beim Start des PC's die einzelnen Module nicht startet.
Im abgesicherten Modus durchchecken lassen und siehe da - einen Trojaner gefunden.
Leider lässt er sich nicht desinfizieren oder löschen (auch nicht im abgesicherten Modus), deswegen bräucht ich da eure Hilfe!
Die angebliche Datei (comaloc.dll/UPX) befindet sich in im System32 Ordner - dort wird sie mir aber nicht angezeigt (habe auch die unsichtbaren Dateien und Ordner zum Anzeigen freigegeben)
Beim Trojaner handelt es sich laut Kaspersky um den "Backdoor.Win32.Agent.ac"
Hier mal der HiJackThis log...
---------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 15:28:44, on 13.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\USBStorage\USBDetector.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [SetIcon] \Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [USBDetector] C:\USBStorage\USBDetector.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.gamers.at
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129803779734
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E22902C-7DB4-415C-95FB-07DEE150FCA7}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{E29AC3D3-7B8C-472F-ABD9-121EC9CCFA16}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220 208.67.222.222
O18 - Filter: text/plain - {77D76D10-2748-49C2-A39F-328692A0C011} - C:\WINDOWS\system32\jgoeba.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--------------------------------------------------------------------------------------------
Ich weis, der naheliegendste Tipp hier, wäre neu aufsetzen. Allerdings möchte ich das nur als letzten Ausweg machen, da meine Eltern natürlich Ihre Dateien über den ganzen PC verstreut haben und nur sproadisch irgendetwas auf CD gesichert haben. Somit wäre das ganz schön viel Arbeit da ne Sicherung von den Daten anzulegen, die sie behalten wollen -.-
Danke schonmal im Voraus! Hoffe ihr könnt mir da weiterhelfen!