Virus alert unten rechts

#0
06.06.2008, 12:44
Member

Beiträge: 14
#1 Hallo
ich habe ein großes Problem
1.Ich kann meine beiden Festplatten auf dem Arbeitsplatz nicht mehr sehen
2.Einige Links im Startmenü sind weg z.b. Ausführen oder Systemsteuerung
3.Ständig öffnen sich Popusps
4.Nicht immer öffnet sich die eingeggebene Seite dierekt manchmal komme ich auf eine andere Internet Seite.
5.Unten Rechts neben der Uhrzeit Steht Virus Alert.
6.Ich werde Ständig gebeten mir so ein komisches antivierenprogramm runterzuladen.Wenn ich auf abbrechen klicke versucht es sich trotzdem zu installieren.
7.ich habe eine Toolbar mit dem namen nmwegbsf obwohl ich sie nicht installiert habe.
8. Diese komischen "Antivierenprogramme haben sich auch in meine favoriten eingetragen

Hier Mein Hijack File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31: VIRUS ALERT!, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\AMT\LMS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: QXK Olive - {E12D5137-3057-4974-A099-11A1189BA24F} - C:\WINDOWS\nogxfvbldot.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll (file missing)
O3 - Toolbar: nmwegbsf - {0012AB5F-08E6-4105-BE04-300B740F6B0C} - C:\WINDOWS\nmwegbsf.dll
O4 - HKLM\..\Run: [AdminWorks Tray] "C:\Acer\LANScope Agent\awtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mpeg heck log link] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Joy coal mpeg heck\Default user.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [roetpaezju] c:\dokumente und einstellungen\serra\lokale einstellungen\anwendungsdaten\roetpaezju.exe roetpaezju
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202130509921
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: adgpfoxs - {61D87348-A0C2-4515-8663-38B4EC5AC85B} - C:\WINDOWS\adgpfoxs.dll
O21 - SSODL: erpobmsw - {4DF69D99-C3E0-4D42-BBB5-04C052F7BF46} - C:\WINDOWS\erpobmsw.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) Active Management Technology LMS Service (LMS) - Intel - C:\Programme\Intel\AMT\LMS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7284 bytes


Bitte helft mir schnell
Dieser Beitrag wurde am 06.06.2008 um 12:49 Uhr von Serra editiert.
Seitenanfang Seitenende
06.06.2008, 12:55
Moderator

Beiträge: 7802
#2 Nutze bitte einmal Combofix:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.06.2008, 12:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Serra

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: QXK Olive - {E12D5137-3057-4974-A099-11A1189BA24F} - C:\WINDOWS\nogxfvbldot.dll

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\Styler\TB\StylerTB.dll (file missing)

O3 - Toolbar: nmwegbsf - {0012AB5F-08E6-4105-BE04-300B740F6B0C} - C:\WINDOWS\nmwegbsf.dll

O4 - HKLM\..\Run: [mpeg heck log link] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Joy coal mpeg heck\Default user.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O21 - SSODL: adgpfoxs - {61D87348-A0C2-4515-8663-38B4EC5AC85B} - C:\WINDOWS\adgpfoxs.dll

O21 - SSODL: erpobmsw - {4DF69D99-C3E0-4D42-BBB5-04C052F7BF46} - C:\WINDOWS\erpobmsw.dll
««
wende smitfraudfix Option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
wende rvaxo im abgesicherten Modus an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

««
anwenden
1. LOP-Uninstall (Uninstaller)
2. deljob von Estefsmeenk
http://virus-protect.org/artikel/tools/cid-uninstaller.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

----------------------------------------------------------

wenn dann alles sauber ist, (nach dem log von Combofix werde ich noch ein script erstellen)
arbeite das ab:
http://board.protecus.de/t33739.htm

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31: VIRUS ALERT!, on 06.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)

dieses VirusAlert! muss entfernt werden und dann muss die korrekte ProductId wieder in die Registry gebracht werden, sonst funktionieren die Windowsupdates nicht mehr... ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.06.2008, 13:04
Member

Themenstarter

Beiträge: 14
#4 Schritt 06 und 07 kann ich nicht finden


Ersteinmal hier mein Combofix Log

ComboFix 08-06-05.3 - Serra 2008-06-06 12:58:13.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.599 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Serra\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Serra\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Serra\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Serra\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Serra\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Serra\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Serra\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Serra\Lokale Einstellungen\Anwendungsdaten\roetpaezju.dat
C:\Dokumente und Einstellungen\Serra\Lokale Einstellungen\Anwendungsdaten\roetpaezju_nav.dat
c:\Dokumente und Einstellungen\Serra\Lokale Einstellungen\Anwendungsdaten\roetpaezju_navps.dat
C:\WINDOWS\system32\dcads_sidebar.dll
C:\WINDOWS\system32\dcads_sidebar_uninstall.exe
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\pskill.exe
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-06 bis 2008-06-06 ))))))))))))))))))))))))))))))
.

2008-06-06 12:29 . 2008-06-06 12:29 <DIR> d-------- C:\Programme\Trend Micro
2008-06-06 09:56 . 2008-06-05 21:15 372,736 --a------ C:\WINDOWS\erpobmsw.dll
2008-06-06 09:56 . 2008-06-05 21:15 266,240 --a------ C:\WINDOWS\nogxfvbldot.dll
2008-06-06 09:56 . 2008-06-05 21:15 262,144 --a------ C:\WINDOWS\adgpfoxs.dll
2008-06-06 09:56 . 2008-06-05 21:15 200,704 --a------ C:\WINDOWS\nmwegbsf.dll
2008-06-06 09:56 . 2008-06-05 21:15 163,840 --a------ C:\WINDOWS\evgd.exe
2008-06-06 07:29 . 2008-06-06 07:58 <DIR> d---s---- C:\Mucke
2008-06-02 15:58 . 2008-06-06 09:35 23 --a------ C:\WINDOWS\BlendSettings.ini
2008-05-29 17:58 . 2008-05-29 17:58 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-28 19:36 . 2008-05-28 19:36 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-05-27 17:57 . 2008-05-27 17:57 <DIR> d-------- C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\AVS4YOU
2008-05-27 17:56 . 2008-05-27 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-05-27 17:55 . 2008-05-27 17:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-05-27 17:55 . 2008-05-27 17:56 <DIR> d-------- C:\Programme\AVS4YOU
2008-05-27 17:55 . 2007-02-27 19:36 1,700,352 --a------ C:\WINDOWS\system32\GdiPlus.dll
2008-05-27 17:55 . 2007-02-27 19:36 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2008-05-27 17:55 . 2007-02-27 19:36 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll
2008-05-27 14:06 . 2008-05-27 14:06 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-05-27 14:05 . 2008-05-27 14:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-25 08:59 . 2008-05-25 08:59 <DIR> d-------- C:\WINDOWS\system32\URTTEMP
2008-05-25 08:58 . 2008-05-25 21:43 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe
2008-05-25 08:58 . 2008-05-25 21:43 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-05-25 08:58 . 2008-05-25 21:43 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-05-25 08:58 . 2008-05-25 21:44 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-25 08:58 . 2008-05-25 21:44 22,328 --a------ C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\PnkBstrK.sys
2008-05-22 11:00 . 2008-05-22 11:00 <DIR> d-------- C:\Programme\Apple Software Update
2008-05-20 20:11 . 2008-05-20 20:11 95,833 --a------ C:\WINDOWS\system32\{de77bd3f-8e91-6049-0075-0e7554ba4227}.dll-uninst.exe
2008-05-17 22:54 . 2008-05-17 22:54 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-05-17 12:01 . 2003-03-16 00:15 90,112 --a------ C:\WINDOWS\unvise32.exe
2008-05-13 21:44 . 2008-05-13 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\Media Center Programs
2008-05-13 21:11 . 2008-05-27 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\InstallShield Installation Information

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 10:09 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-06 10:09 413,696 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-06 10:06 --------- d-----w C:\Programme\DivX
2008-06-06 10:05 --------- d-----w C:\Programme\WinFlip
2008-06-06 10:05 --------- d-----w C:\Programme\Bonjour
2008-06-06 07:46 --------- d-----w C:\Programme\Incomplete
2008-06-06 07:42 --------- d-----w C:\Programme\LimeWire
2008-06-04 16:41 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\Skype
2008-06-04 14:26 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\skypePM
2008-06-03 13:37 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-25 14:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-25 06:48 --------- d-----w C:\Programme\Electronic Arts
2008-05-10 13:00 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\Hamachi
2008-05-10 11:50 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-05-02 17:53 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\Teeworlds
2008-05-01 20:10 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\concept design
2008-04-27 11:15 --------- d-----w C:\Dokumente und Einstellungen\Pferdegirl\Anwendungsdaten\ICQ
2008-04-26 23:18 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\Bioshock
2008-04-23 16:22 --------- d-----w C:\Programme\Audiograbber
2008-04-17 19:04 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-04-17 19:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-16 16:23 --------- d-----w C:\Programme\ICQ6
2008-04-16 15:50 36,824 ----a-w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-04-14 17:17 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\MAGIX
2008-04-14 17:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-04-14 16:13 89,070 ----a-w C:\WINDOWS\system32\myss_sb_uninstall.exe
2008-04-14 16:09 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\LimeWire
2008-04-10 14:51 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\Ubisoft
2008-04-10 14:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-04-09 15:28 --------- d-----w C:\Programme\QuickTime
2008-04-09 15:26 --------- d-----w C:\Programme\iPod
2008-04-07 17:27 --------- d-----w C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\teamspeak2
2008-03-31 19:29 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-18 18:27 84,729 ----a-w C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2007-07-13 16:27 7,050 ----a-w C:\Programme\Gothic.RPT
2007-03-30 13:54 702,096 ----a-w C:\Programme\APR2007_d3dx10_33_x64.cab
2007-03-30 13:54 699,466 ----a-w C:\Programme\APR2007_d3dx10_33_x86.cab
2007-03-30 13:54 56,902 ----a-w C:\Programme\APR2007_xinput_x86.cab
2007-03-30 13:54 45,302 ----a-w C:\Programme\dxdllreg_x86.cab
2007-03-30 13:54 199,384 ----a-w C:\Programme\APR2007_XACT_x64.cab
2007-03-30 13:54 155,350 ----a-w C:\Programme\APR2007_XACT_x86.cab
2007-03-30 13:54 100,434 ----a-w C:\Programme\APR2007_xinput_x64.cab
2007-03-30 13:54 1,610,998 ----a-w C:\Programme\APR2007_d3dx9_33_x64.cab
2007-03-30 13:54 1,610,311 ----a-w C:\Programme\APR2007_d3dx9_33_x86.cab
2007-03-30 13:38 85,883 ----a-w C:\Programme\dxupdate.cab
2007-03-30 13:38 77,160 ----a-w C:\Programme\DSETUP.dll
2007-03-30 13:38 503,144 ----a-w C:\Programme\DXSETUP.exe
2007-03-30 13:38 1,673,576 ----a-w C:\Programme\dsetup32.dll
.

------- Sigcheck -------

2005-03-02 20:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 18:06 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2004-08-04 14:00 2017792 f8d35488d41b19a306a454ffc0ed0336 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2005-03-02 20:06 2017792 a3724446acb9de8d890cfabd146cd0ad C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 18:02 2030080 fc2b86404f252aeca6289648dd370cb6 C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2007-02-28 18:02 2018304 9dc58c5bdedccb8298c8a2d6d4996ec4 C:\WINDOWS\system32\VITrans\ntkrnlpa.exe

2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2004-08-04 14:00 2150912 c3ec5dd56e3eb15d80af9fcee030cabd C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2005-03-02 20:06 2138112 3ddc2bc3d32b2fc505d09b8b8974d5bb C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 18:02 2150400 c8dfcb1e7dddc0b29c6b48ecbf8cca7e C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2007-02-28 18:02 2138624 495d541a116e7f1b79ed9bd588f54a71 C:\WINDOWS\system32\VITrans\ntoskrnl.exe

2007-06-13 15:21 1434112 947814d840d016d70c46bc228880916f C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\VITrans\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E12D5137-3057-4974-A099-11A1189BA24F}]
2008-06-05 21:15 266240 --a------ C:\WINDOWS\nogxfvbldot.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0012AB5F-08E6-4105-BE04-300B740F6B0C}"= "C:\WINDOWS\nmwegbsf.dll" [2008-06-05 21:15 200704]

[HKEY_CLASSES_ROOT\clsid\{0012ab5f-08e6-4105-be04-300b740f6b0c}]
[HKEY_CLASSES_ROOT\nmwegbsf.1]
[HKEY_CLASSES_ROOT\TypeLib\{1ADE202D-4262-4C62-B352-E1F0AAC3CB0C}]
[HKEY_CLASSES_ROOT\nmwegbsf]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdminWorks Tray"="C:\Acer\LANScope Agent\awtray.exe" [2006-09-19 18:49 1436672]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 16:31 262401]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 16:48 16208384 C:\WINDOWS\RTHDCPL.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-07-21 11:48 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-07-21 11:50 86016]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-07-21 11:47 81920]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"mpeg heck log link"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Joy coal mpeg heck\Default user.exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-17 21:04 185896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

C:\Dokumente und Einstellungen\Serra\Startmen\Programme\Autostart\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"adgpfoxs"= {61D87348-A0C2-4515-8663-38B4EC5AC85B} - C:\WINDOWS\adgpfoxs.dll [2008-06-05 21:15 262144]
"erpobmsw"= {4DF69D99-C3E0-4D42-BBB5-04C052F7BF46} - C:\WINDOWS\erpobmsw.dll [2008-06-05 21:15 372736]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):76,69,73,74,61,75,69,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VP31"= vp31vfw.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Hama Wireless LAN Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Hama Wireless LAN Utility.lnk
backup=C:\WINDOWS\pss\Hama Wireless LAN Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^p6_19_erinnerung.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\p6_19_erinnerung.lnk
backup=C:\WINDOWS\pss\p6_19_erinnerung.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Serra^Startmenü^Programme^Autostart^hamachi.lnk]
path=C:\Dokumente und Einstellungen\Serra\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Serra^Startmenü^Programme^Autostart^UberIcon.lnk]
path=C:\Dokumente und Einstellungen\Serra\Startmenü\Programme\Autostart\UberIcon.lnk
backup=C:\WINDOWS\pss\UberIcon.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Serra^Startmenü^Programme^Autostart^Y'z Shadow.lnk]
path=C:\Dokumente und Einstellungen\Serra\Startmenü\Programme\Autostart\Y'z Shadow.lnk
backup=C:\WINDOWS\pss\Y'z Shadow.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-03-16 12:45 63712 C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Comrade.exe]
C:\Programme\GameSpy\Comrade\Comrade.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\flckbpeg]
c:\dokumente und einstellungen\serra\lokale einstellungen\anwendungsdaten\flckbpeg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iSaverCtrl]
C:\Programme\iSaver\iSaverCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-03-30 10:36 267048 D:\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OkayDale]
--a------ 2008-04-04 15:57 413696 C:\DOKUME~1\Serra\ANWEND~1\atomweb\PopWipeBoob.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2007-06-18 16:10 271360 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-02-06 18:21 21898024 C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-04-05 15:16 1271032 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-02-21 19:25 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TeamViewer]
C:\Programme\TeamViewer\TeamViewer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-04-17 21:04 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC9Player]
C:\Programme\Virtual CD v9\System\VC9Play.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vista Sidebar]
C:\Programme\Vista Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ServiceLayer"=3 (0x3)
"VC9SecS"=2 (0x2)
"CiSvc"=2 (0x2)
"SandraTheSrv"=3 (0x3)
"SandraDataSrv"=3 (0x3)
"gusvc"=2 (0x2)
"iPod Service"=3 (0x3)
"Bonjour Service"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"FirebirdServerMAGIXInstance"=3 (0x3)
"AWService"=2 (0x2)
"AgentPresenceSnmpService"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Sunflowers\\ParaWorld\\bin\\PWServer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\GpotatoEu\\Flyff\\Flyff.exe"=
"C:\\Programme\\Ubisoft\\Tom Clancy's Splinter Cell Double Agent\\SCDA-Offline\\System\\SplinterCell4.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.0\\cnc3game.dat"=
"D:\\Games\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\Electronic Arts\\Command & Conquer 3\\RetailExe\\1.9\\cnc3game.dat"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR2a\\sandra.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR2a\\RpcSandraSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2005.SR2a\\RpcDataSrv.exe"=
"C:\\Programme\\DynGate\\DynGate.exe"=
"C:\\Programme\\Ubisoft\\Heroes of Might and Magic V - Tribes of the East\\bin\\H5_Game.exe"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\Steam\\SteamApps\\common\\Lost Planet Extreme Condition\\LostPlanetDx10.exe"=
"C:\\Programme\\Steam\\SteamApps\\common\\Lost Planet Extreme Condition\\LostPlanetDx9.exe"=
"D:\\World of Warcraft\\Launcher.exe"=
"D:\\World of Warcraft\\Wow.exe"=
"C:\\Programme\\Ubisoft\\Tom Clancy's Splinter Cell Double Agent\\SCDA-Online\\System\\SCDA_online.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2\\bf2_w32ded.exe"=
"D:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"D:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"D:\\GUILD WARS\\Gw.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\iTunes\\iTunes.exe"=
"D:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"D:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"D:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"D:\\World of Warcraft\\Repair.exe"=
"D:\\concept design\\onlineTV 4\\onlineTV.exe"=
"C:\\Dokumente und Einstellungen\\Serra\\Desktop\\teeworlds-0.4.2-win32\\teeworlds_srv.exe"=
"C:\\Dokumente und Einstellungen\\Serra\\Desktop\\teeworlds-0.4.2-win32\\teeworlds.exe"=
"D:\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"D:\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"D:\\Binaries\\UT3.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Dokumente und Einstellungen\\Serra\\Desktop\\wormsarm\\WA.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"162:UDP"= 162:UDP:*;)isabled:LANScope UDP Port
"9999:UDP"= 9999:UDP:*;)isabled:LANScope UDP Port
"2804:TCP"= 2804:TCP:*;)isabled:LANScope TCP Port
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2006-05-17 18:29]
R2 LMS;Intel(R) Active Management Technology LMS Service;C:\Programme\Intel\AMT\LMS.exe [2006-12-22 12:40]
R2 netlimiter;netlimiter;C:\WINDOWS\system32\drivers\netlimiter.sys [2006-01-24 15:01]
R2 netlock;netlock;C:\WINDOWS\system32\drivers\netlock.sys [2006-01-18 17:46]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2006-09-19 19:53]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-03-31 12:32]
S3 DTV_Capture_2X0;DVB-T Receiver;C:\WINDOWS\system32\Drivers\DTV_Capture_2X0.sys [2004-09-06 22:40]
S3 DTV_Loader_2X1;DVB-T Loader;C:\WINDOWS\system32\Drivers\DTV_Loader_2X1.sys [2005-06-29 19:21]
S3 gtermddo;gtermddo;C:\DOKUME~1\Serra\LOKALE~1\Temp\gtermddo.sys []
S3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2005-09-13 15:33]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS [2004-04-26 11:11]
S3 WDM_Capture_220A;DVB-T TV Receiver;C:\WINDOWS\system32\Drivers\WDM_Capture_220A.sys [2006-03-20 17:06]
S3 WDM_Loader_220A;DVB-T TV Loader;C:\WINDOWS\system32\Drivers\WDM_Loader_220A.sys [2006-06-12 15:33]
S3 WEBNTACCESS;WEBNTACCESS;C:\WINDOWS\system32\NTACCESS.SYS []
S4 AgentPresenceSnmpService;vProSNMPService;C:\Programme\Acer\LANScope3.1\vProSnmpService.exe [2006-09-20 13:28]
S4 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7bcc0d4a-1431-11dd-951f-000e2ef36e7b}]
\Shell\AutoRun\command - nlblkhq.com
\Shell\explore\Command - nlblkhq.com
\Shell\open\Command - nlblkhq.com

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-04 15:26:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 13:00:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-06 13:01:43
ComboFix-quarantined-files.txt 2008-06-06 11:01:36

13 Verzeichnis(se), 6,598,860,800 Bytes frei
16 Verzeichnis(se), 8,695,791,616 Bytes frei

348 --- E O F --- 2008-05-29 16:49:44
Dieser Beitrag wurde am 06.06.2008 um 13:09 Uhr von Serra editiert.
Seitenanfang Seitenende
06.06.2008, 13:07
Moderator

Beiträge: 7802
#5 Bitte teste C:\WINDOWS\explorer.exe bei Virustotal
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.06.2008, 13:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 1.
stecke den verseuchten USB-Stick ein +
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"adgpfoxs"=-
"erpobmsw"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mpeg heck log link"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E12D5137-3057-4974-A099-11A1189BA24F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{0012AB5F-08E6-4105-BE04-300B740F6B0C}"=-
[-HKEY_CLASSES_ROOT\clsid\{0012ab5f-08e6-4105-be04-300b740f6b0c}]
[-HKEY_CLASSES_ROOT\nmwegbsf.1]
[-HKEY_CLASSES_ROOT\TypeLib\{1ADE202D-4262-4C62-B352-E1F0AAC3CB0C}]
[-HKEY_CLASSES_ROOT\nmwegbsf]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7bcc0d4a-1431-11dd-951f-000e2ef36e7b}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OkayDale]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\flckbpeg]

File::
C:\nlblkhq.com
C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
C:\WINDOWS\system32\myss_sb_uninstall.exe
C:\WINDOWS\erpobmsw.dll
C:\WINDOWS\nogxfvbldot.dll
C:\WINDOWS\adgpfoxs.dll
C:\WINDOWS\nmwegbsf.dll
C:\WINDOWS\evgd.exe
c:\dokumente und einstellungen\serra\lokale einstellungen\anwendungsdaten\flckbpeg.exe
C:\WINDOWS\system32\{de77bd3f-8e91-6049-0075-0e7554ba4227}.dll-uninst.exe

Folder::
C:\Dokumente und Einstellungen\Serra\Anwendungsdaten\atomweb
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Joy coal mpeg heck


Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

-----------------------------------------------------------

3.
scanne mit navilog, option 1 , dann Option 2 - poste hier den report von option2
http://virus-protect.org/artikel/tools/navilog.html

4.
anwenden
1. LOP-Uninstall (Uninstaller)
2. deljob von Estefsmeenk
http://virus-protect.org/artikel/tools/cid-uninstaller.html

5.
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.06.2008, 13:17
Member

Themenstarter

Beiträge: 14
#7 Hier mein SmitfraudFix Log:

SmitFraudFix v2.323

Scan done at 13:13:59,65, 06.06.2008
Run from C:\Dokumente und Einstellungen\Serra\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 bin.errorprotector.com ## added by CiD
127.0.0.1 br.errorsafe.com ## added by CiD
127.0.0.1 br.winantivirus.com ## added by CiD
127.0.0.1 br.winfixer.com ## added by CiD
127.0.0.1 cdn.drivecleaner.com ## added by CiD
127.0.0.1 cdn.errorsafe.com ## added by CiD
127.0.0.1 cdn.winsoftware.com ## added by CiD
127.0.0.1 de.errorsafe.com ## added by CiD
127.0.0.1 de.winantivirus.com ## added by CiD
127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
127.0.0.1 download.cdn.errorsafe.com ## added by CiD
127.0.0.1 download.cdn.winsoftware.com ## added by CiD
127.0.0.1 download.errorsafe.com ## added by CiD
127.0.0.1 download.systemdoctor.com ## added by CiD
127.0.0.1 download.winantispyware.com ## added by CiD
127.0.0.1 download.windrivecleaner.com ## added by CiD
127.0.0.1 download.winfixer.com ## added by CiD
127.0.0.1 drivecleaner.com ## added by CiD
127.0.0.1 dynamique.drivecleaner.com ## added by CiD
127.0.0.1 errorprotector.com ## added by CiD
127.0.0.1 errorsafe.com ## added by CiD
127.0.0.1 es.winantivirus.com ## added by CiD
127.0.0.1 fr.winantivirus.com ## added by CiD
127.0.0.1 fr.winfixer.com ## added by CiD
127.0.0.1 go.drivecleaner.com ## added by CiD
127.0.0.1 go.errorsafe.com ## added by CiD
127.0.0.1 go.winantispyware.com ## added by CiD
127.0.0.1 go.winantivirus.com ## added by CiD
127.0.0.1 hk.winantivirus.com ## added by CiD
127.0.0.1 instlog.errorsafe.com ## added by CiD
127.0.0.1 instlog.winantivirus.com ## added by CiD
127.0.0.1 instlog.winfixer.com ## added by CiD
127.0.0.1 jsp.drivecleaner.com ## added by CiD
127.0.0.1 kb.errorsafe.com ## added by CiD
127.0.0.1 kb.winantivirus.com ## added by CiD
127.0.0.1 nl.errorsafe.com ## added by CiD
127.0.0.1 se.errorsafe.com ## added by CiD
127.0.0.1 secure.drivecleaner.com ## added by CiD
127.0.0.1 secure.errorsafe.com ## added by CiD
127.0.0.1 secure.winantispam.com ## added by CiD
127.0.0.1 secure.winantispy.com ## added by CiD
127.0.0.1 secure.winantivirus.com ## added by CiD
127.0.0.1 support.winantivirus.com ## added by CiD
127.0.0.1 trial.updates.winsoftware.com ## added by CiD
127.0.0.1 ulog.winantivirus.com ## added by CiD
127.0.0.1 utils.errorsafe.com ## added by CiD
127.0.0.1 utils.winantivirus.com ## added by CiD
127.0.0.1 utils.winfixer.com ## added by CiD
127.0.0.1 winantispyware.com ## added by CiD
127.0.0.1 winantivirus.com ## added by CiD
127.0.0.1 winfixer.com ## added by CiD
127.0.0.1 winfixer2006.com ## added by CiD
127.0.0.1 winsoftware.com ## added by CiD
127.0.0.1 www.drivecleaner.com ## added by CiD
127.0.0.1 www.errorprotector.com ## added by CiD
127.0.0.1 www.errorsafe.com ## added by CiD
127.0.0.1 www.systemdoctor.com ## added by CiD
127.0.0.1 www.utils.winfixer.com ## added by CiD
127.0.0.1 www.win-anti-virus-pro.com ## added by CiD
127.0.0.1 www.win-virus-pro.com ## added by CiD
127.0.0.1 www.winantispam.com ## added by CiD
127.0.0.1 www.winantispy.com ## added by CiD
127.0.0.1 www.winantispyware.com ## added by CiD
127.0.0.1 www.winantivirus.com ## added by CiD
127.0.0.1 www.winantiviruspro.com ## added by CiD
127.0.0.1 www.windrivecleaner.com ## added by CiD
127.0.0.1 www.windrivesafe.com ## added by CiD
127.0.0.1 www.winfixer.com ## added by CiD
127.0.0.1 www.winfixer2006.com ## added by CiD
127.0.0.1 www.winsoftware.com ## added by CiD

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: RT73 USB Wireless LAN Card #4 - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F3221CBB-0B11-439B-BD07-BCF6BAF7BAF6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F3221CBB-0B11-439B-BD07-BCF6BAF7BAF6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F3221CBB-0B11-439B-BD07-BCF6BAF7BAF6}: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
06.06.2008, 13:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 führe bitte das noch aus, dann alles weitere.... (siehe mein 2.Beitrag)

Zitat

raman postete
Bitte teste C:\WINDOWS\explorer.exe bei Virustotal
Punkt 4 dient zur CID-Entfernung... (siehe die HOSTS-Verseuchung)
dein Rechner scheint arg gebeutelt von Viren und Spyware ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.06.2008, 13:26
Member

Themenstarter

Beiträge: 14
#9

Zitat

raman postete
Bitte teste C:\WINDOWS\explorer.exe bei Virustotal
Ist sauber
Seitenanfang Seitenende
06.06.2008, 13:31
Moderator

Beiträge: 7802
#10

Zitat

Ist sauber
Glaub ich nicht! ;)

schicke die Datei C:\WINDOWS\explorer.exe bitte einmal an virus@protecus.de, oder virus@rokop-security.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
06.06.2008, 14:21
Member

Themenstarter

Beiträge: 14
#11

Zitat

Sabina postete


3.
scanne mit navilog, option 1 , dann Option 2 - poste hier den report von option2
http://virus-protect.org/artikel/tools/navilog.html



------------------------
Navipromo Removal version 3.5.8 started on 06.06.2008 at 14:16:42,42

Fix running from C:\Programme\navilog1
Actual User Account : "Serra"

Updated on 05.06.2008 at 18h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Serra\lokale~1\anwend~1" *


* Deletion in "C:\DOKUME~1\PFERDE~1\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Serra\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\PFERDE~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Serra\lokale~1\anwend~1" ***


*** Deleting folders in "C:\DOKUME~1\PFERDE~1\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Serra\startm~1\progra~1" ***


*** Deleting folders in "C:\DOKUME~1\PFERDE~1\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Serra\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Serra\lokale~1\anwend~1" *


* In "C:\DOKUME~1\PFERDE~1\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate not found !
Electronic-Group Certificate deleted !
OOO-Favorit Certificate deleted !

Sunny-Day-Design-Ltd Certificate not found !

*** Suspicious Files not deleted by Navilog1 ***
!! Possible legitimate files, must be checked before deleting !!

Suspicious Files in "C:\WINDOWS\system32" :

keystone.exe found !


*** Cleaning stage complete on 06.06.2008 at 14:19:36,75 ***



«
Seitenanfang Seitenende
06.06.2008, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««
anwenden
1. LOP-Uninstall (Uninstaller) - ist kein Trojaner, falls Antivirus das meint ....
2. deljob von Estefsmeenk
http://virus-protect.org/artikel/tools/cid-uninstaller.html

««
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2008, 11:40
Member

Themenstarter

Beiträge: 14
#13 Malwarebytes' Anti-Malware 1.15
Datenbank Version: 837

11:38:58 07.06.2008
mbam-log-6-7-2008 (11-38-54).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 174627
Scan Dauer: 1 hour(s), 5 minute(s), 2 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mySearchAssistant (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\AdvRemoteDbg (Adware.Agent) -> No action taken.
HKEY_CLASSES_ROOT\nmwegbsf.bfwq (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\nmwegbsf.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\evgd.exe.vir (Trojan.FakeAlert) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\myss_sb_uninstall.exe.vir (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{5EF3BDAB-4270-4A94-B118-BC8FDA6C1274}\RP238\A0119342.dll (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{5EF3BDAB-4270-4A94-B118-BC8FDA6C1274}\RP263\A0124392.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{5EF3BDAB-4270-4A94-B118-BC8FDA6C1274}\RP263\A0124396.exe (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\d3d.dll (Trojan.Downloader) -> No action taken.
Seitenanfang Seitenende
07.06.2008, 12:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 1.
du musst mit malwarebytes auch löschen lassen. - No action taken. ist nicht angebracht...

2.
Click Start - Ausführen - reinschreiben: sigverif

click OK and Start.
Der Computer wird scannen alle Dateien auf ihre digital "Autograph" (Authentizitaet) und kopiere die sigverif.txt


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.06.2008, 19:50
Member

Themenstarter

Beiträge: 14
#15 Hier noch der Logfile ich habe jetzt mit malwarebytes auch gelöscht und glaube mein Pc ist sauber

Danke für die schnelle und gute Hilfe


********************************

Microsoft Signaturverifizierung

Protokolldatei wurde am 07.06.2008 um 19:47 erstellt.
Betriebssystem: Windows 2000 (x86), Version: 5.1, Build: 2600, CSDVersion: Service Pack 2
Scanergebnisse: Dateien insgesamt: 3394, Signiert: 2116, Nicht signiert: 114, Nicht gescannt: 1164

Datei Geändert Version Status Katalog Signiert von
------------------ ------------ ----------- ------------
pinball.exe 04.08.2004 2:5.1 Signiert NT5INF.CAT Microsoft Windows Publisher
[c:\programme\windows nt\zubehör]
wordpad.exe 04.08.2004 2:5.1 Signiert NT5.CAT Microsoft Windows Publisher
[c:\windows]
alcmtr.exe 03.05.2005 2:5.00 Signiert oem3.CAT Microsoft Windows Hardware Compatibility Publisher
alcwzrd.exe 04.05.2006 2:5.00 Signiert oem3.CAT Microsoft Windows Hardware Compatibility Publisher
explorer.exe 13.06.2007 6.0.2900.3156 Nicht signiert Nicht zutreffend
hh.exe 27.05.2005 2:5.1 Signiert KB896358.cat Microsoft Windows XP Publisher
miccal.exe 10.03.2006 2:5.00 Signiert oem3.CAT


«
edit (Sabina)
Seitenanfang Seitenende