TR/Monder.327668

#1 1) ausgeführt

2)

ComboFix 08-06-10.5 - Edy 2008-06-12 13:28:29.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.673 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Edy.C4\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM4bb76e54.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aIkjPqss.ini
C:\WINDOWS\system32\aIkjPqss.ini2
C:\WINDOWS\system32\khfCturP.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pkckcxca.dll
C:\WINDOWS\system32\semwnbom.dll
C:\WINDOWS\system32\uvqqkmlv.dll
C:\WINDOWS\system32\vlmkqqvu.ini
.
---- Previous Run -------
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\aIkjPqss.ini
C:\WINDOWS\system32\aIkjPqss.ini2
C:\WINDOWS\system32\awtrOhFy.dll
C:\WINDOWS\system32\ddcCVOIY.dll
C:\WINDOWS\system32\ddcDuTJa.dll
C:\WINDOWS\system32\dpinibym.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mybinipd.ini
C:\WINDOWS\system32\nnnoMCUm.dll
C:\WINDOWS\system32\opnlKBrS.dll
C:\WINDOWS\system32\rqRHaYrq.dll
C:\WINDOWS\system32\rqRIcyAr.dll
C:\WINDOWS\system32\urqOGWQi.dll
C:\WINDOWS\system32\urqQgggH.dll
C:\WINDOWS\system32\urqQjjiH.dll
C:\WINDOWS\system32\wwapthte.dll
C:\WINDOWS\system32\xxyaawvS.dll
C:\WINDOWS\system32\yotpaiir.dll
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-12 bis 2008-06-12 ))))))))))))))))))))))))))))))
.

2008-06-12 13:14 . 2008-06-12 13:14 <DIR> d-------- C:\Programme\Trend Micro
2008-06-11 14:08 . 2008-06-11 14:08 <DIR> d--hs---- C:\FOUND.002
2008-06-11 13:42 . 2008-06-11 13:42 81,007 --a------ C:\WINDOWS\system32\jtewfomk.dll
2008-06-11 13:20 . 2008-06-11 13:20 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2008-06-11 13:14 . 2008-06-11 13:14 <DIR> d-------- C:\Programme\CCleaner
2008-06-11 12:44 . 2008-06-11 14:56 2,232 --a------ C:\is155815.exe
2008-06-10 20:19 . 2008-06-10 20:19 <DIR> d-------- C:\Programme\Alwil Software
2008-06-10 20:19 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-06-10 20:09 . 2008-06-10 20:09 605,184 --a------ C:\WINDOWS\system32\ssqPjkIa.dll
2008-06-10 20:00 . 2008-06-10 20:00 <DIR> d--hs---- C:\FOUND.001
2008-06-10 19:44 . 2008-06-10 19:43 29,334 -r-hs---- C:\WINDOWS\winudmr.exe
2008-06-09 18:35 . 2008-06-09 18:35 <DIR> d-------- C:\WINDOWS\nvidia icons
2008-06-09 18:35 . 2008-05-03 05:46 182,347 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-06-08 16:46 . 2008-06-08 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\media center programs
2008-06-08 15:27 . 2008-06-08 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Funcom
2008-05-22 22:02 . 2008-05-22 22:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2003-07-26 12:05 98,304 ----a-w C:\Programme\xp-AntiSpy.exe
.

((((((((((((((((((((((((((((( snapshot@2008-06-12_13.21.40.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-12 11:20:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-12 11:30:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-12 10:45:14 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-12 11:24:28 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-06-12 10:45:14 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-12 11:24:28 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-12 10:45:14 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-12 11:24:28 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-06-12 10:45:14 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-12 11:24:28 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03FE1D40-E8F9-4C1C-B67D-299826A4F93F}]
2008-06-10 20:09 605184 --a------ C:\WINDOWS\system32\ssqPjkIa.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 07:31 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 16:53 65024 C:\WINDOWS\soundman.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"Windows Controls Center"="winudmr.exe" [2008-06-10 19:43 29334 C:\WINDOWS\winudmr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{34DF45D1-6319-4A7F-84CA-7498BD0DAEFC}"= C:\WINDOWS\system32\xxyaxXQK.dll [2008-06-12 13:31 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyaxXQK]
xxyaxXQK.dll 2008-06-12 13:31 25088 C:\WINDOWS\system32\xxyaxXQK.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
-ra------ 2007-08-09 15:48 528384 C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2006-01-04 09:43 1060864 C:\Programme\VIA\RAID\raid_tool.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:31]
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 11:38]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-17 07:31]
R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]
S3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-11-22 11:33]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-05-02 11:07]
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe

.
Inhalt des "geplante Tasks" Ordners
"2006-12-27 06:48:06 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1167205663.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-12 13:31:46
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\xxyaxXQK.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-12 13:32:39 - machine was rebooted [Edy]
ComboFix-quarantined-files.txt 2008-06-12 11:32:36

10 Verzeichnis(se), 15,433,564,160 Bytes frei
25 Verzeichnis(se), 15,418,556,416 Bytes frei

168

3)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:29, on 12.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\winudmr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Controls Center] winudmr.exe
O4 - HKLM\..\Run: [BM4bb76e54] Rundll32.exe "C:\WINDOWS\system32\awlvpsqc.dll",s
O4 - HKLM\..\Run: [48845dc8] rundll32.exe "C:\WINDOWS\system32\aarylawd.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204139742788
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 4160 bytes


4)


.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 4884-5D67

Verzeichnis von C:\WINDOWS\system32

12.06.2008 13:45 540'115 aIkjPqss.ini
12.06.2008 13:44 540'115 aIkjPqss.ini2
12.06.2008 13:38 1'641'229 dwalyraa.ini
12.06.2008 13:35 81'408 aarylawd.dll
12.06.2008 13:35 99'328 ciepxqcm.dll
12.06.2008 13:35 90'624 awlvpsqc.dll
12.06.2008 13:35 0 clkcnt.txt
12.06.2008 13:34 415'818 perfh007.dat
12.06.2008 13:34 75'116 perfc007.dat
12.06.2008 13:34 62'460 perfc009.dat
12.06.2008 13:34 401'372 perfh009.dat
12.06.2008 13:34 967'166 PerfStringBackup.INI
12.06.2008 13:31 25'088 xxyaxXQK.dll
12.06.2008 13:31 174'666 nvapps.xml
11.06.2008 13:42 81'007 jtewfomk.dll
11.06.2008 13:19 2'953 CONFIG.NT
10.06.2008 20:09 605'184 ssqPjkIa.dll
08.06.2008 22:23 110'992 FNTCACHE.DAT
04.06.2008 13:45 12'598 wpa.dbl
03.05.2008 05:46 4'136'960 nvvitvsr.dll
03.05.2008 05:46 2'629'632 nvwss.dll
03.05.2008 05:46 2'670'592 nvwssr.dll
03.05.2008 05:46 41'984 nvcod.dll
03.05.2008 05:46 18'070 nvdisp.nvu
03.05.2008 05:46 266'240 nvrsptb.dll


Ständig meldet sich AV und weist mich draufhin, dass sich dieser Trojaner
auf meinem Rechner befindet.
Wenn ich msn am laufen hab, verschickt sich dieser
getarnt weiter, inklusive smilies und text, was zum annehmen
animiert, so hab auch ich ihn bekommen.
Später war meine Firewall aus, dann hab ich die wieder angemacht
und die Viren mit AV entfernt, welche sich haben löschen lassen.
Auch im abgesicherten Modus konnte ich die betroffene Datei nicht entfernen.
Bitte helft mir!

#2 Hallo Acryptica

«
Lade folgende Datei bei www.virustotal.com/de hoch und poste das Ergebnis

C:\is155815.exe
C:\WINDOWS\system32\ssqPjkIa.dll
C:\WINDOWS\winudmr.exe


«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O4 - HKLM\..\Run: [BM4bb76e54] Rundll32.exe "C:\WINDOWS\system32\awlvpsqc.dll",s
O4 - HKLM\..\Run: [48845dc8] rundll32.exe "C:\WINDOWS\system32\aarylawd.dll",b

«
wende smitfraudfix Option 2 an (im abgesicherten modus)
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
wende rvaxo im abgesicherten Modus an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html



Gruss Swiss

#3 C:\is155815.exe
C:\WINDOWS\winudmr.exe

diese beiden find ich gar nicht erst, wie stell ich das an?

soll ich mit den anderen anweisungen weiter machen?

edit:
dazu kommt noch, dass ich auf meinem rechner diese und andere
seiten gar nicht mehr öffnen kann, er lädt ewig und es kommt nix
somit musst ich nun mit zwei rechnern
arbeiten um das problem zu beheben...

#4 Acryptica

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03FE1D40-E8F9-4C1C-B67D-299826A4F93F}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{34DF45D1-6319-4A7F-84CA-7498BD0DAEFC}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyaxXQK]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Controls Center"=-

File::
C:\is155815.exe
C:\WINDOWS\winudmr.exe
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\aIkjPqss.ini
C:\WINDOWS\system32\aIkjPqss.ini2
C:\WINDOWS\system32\dwalyraa.ini
C:\WINDOWS\system32\aarylawd.dll
C:\WINDOWS\system32\ciepxqcm.dll
C:\WINDOWS\system32\awlvpsqc.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\xxyaxXQK.dll
C:\WINDOWS\system32\jtewfomk.dll
C:\WINDOWS\system32\ssqPjkIa.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

-----------------

««
wende windowsscan an + poste den report hier
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

2008-06-13 KB920683.log 11 19:2,727
2008-06-13 KB914389.log 11 19:2,716
2008-06-13 system.ini 11 18:227
2008-06-13 0.log 11 17:0
2008-06-13 wiadebug.log 11 17:159
2008-06-13 bootstat.dat 11 17:2,048
2008-06-13 wiaservc.log 11 16:50
2008-06-13 WindowsUpdate.log 11 16:454,923
2008-06-13 PSEXESVC.EXE 11 16:53,248
2008-06-13 BM4bb76e54.txt 10 31:19,272


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

2008-06-13 nvapps.xml 11 17:174,666
2008-06-13 PerfStringBackup.INI 11 07:967,166
2008-06-13 perfc009.dat 11 07:62,460
2008-06-13 perfh009.dat 11 07:401,372
2008-06-13 perfh007.dat 11 07:415,818
2008-06-13 perfc007.dat 11 07:75,116
2008-06-13 ssqPjkIa.dll 11 01:605,184
2008-06-13 tmp.txt 10 06:0
2008-06-13 tmp.reg 10 06:1,122
2008-06-11 jtewfomk.dll 13 42:81,007
2008-06-11 CONFIG.NT 13 19:2,953
2008-06-08 FNTCACHE.DAT 22 23:110,992



***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost

#6 Hallo,

1.
wende das script von Combofix an (siehe oben)

2.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\BM4bb76e54.txt
C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\ssqPjkIa.dll
C:\WINDOWS\system32\jtewfomk.dll

Klicke auf den Roten MoveIt!

3.
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird, + poste hier den report
http://virus-protect.org/artikel/tools/malwarebytes.html

4.
poste das neue Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#7 wenn ich das script auf das combofixicon schiebe
startet es direkt... soll das so sein? o.O

#8 entweder muss man noch mal aufs Symbol von Combofix klicken, aber es kann auch sein, dass es sofort losgeht ...
__________
MfG Sabina

rund um die PC-Sicherheit

#9 3)

----- OriMalwarebytes' Anti-Malware 1.17
Datenbank Version: 851

11:56:59 2008-06-13
mbam-log-6-13-2008 (11-56-59).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 84698
Scan Dauer: 9 minute(s), 55 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)


4)

ComboFix 08-06-10.5 - Edy 2008-06-13 11:32:18.5 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.686 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Edy.C4\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aIkjPqss.ini
C:\WINDOWS\system32\awlvpsqc.dll
C:\WINDOWS\system32\ciepxqcm.dll
C:\WINDOWS\system32\xxyaxXQK.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-13 bis 2008-06-13 ))))))))))))))))))))))))))))))
.

2008-06-13 11:27 . 2006-08-21 11:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-06-13 11:27 . 2006-08-21 11:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-06-13 11:27 . 2006-08-21 14:26 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-06-13 11:25 . 2008-06-13 11:28 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-06-13 11:23 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 10:30 . 2008-06-13 10:31 0 --a------ C:\WINDOWS\BM4bb76e54.xml
2008-06-13 10:19 . 2008-06-13 10:20 <DIR> d-------- C:\RVAXO
2008-06-13 10:08 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-06-13 10:08 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-06-13 10:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-13 10:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-13 10:06 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-13 10:06 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-13 10:06 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-13 10:06 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-13 10:06 . 2008-06-13 10:06 1,122 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\Malwarebytes
2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-06-13 09:55 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-13 09:55 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 09:49 . 2008-06-13 09:49 <DIR> d-------- C:\Programme\Simplyzip
2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T
2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T
2008-06-12 13:14 . 2008-06-12 13:14 <DIR> d-------- C:\Programme\Trend Micro
2008-06-11 14:08 . 2008-06-11 14:08 <DIR> d--hs---- C:\FOUND.002
2008-06-11 13:42 . 2008-06-11 13:42 81,007 --a------ C:\WINDOWS\system32\jtewfomk.dll
2008-06-11 13:20 . 2008-06-11 13:20 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2008-06-11 13:14 . 2008-06-11 13:14 <DIR> d-------- C:\Programme\CCleaner
2008-06-10 20:19 . 2008-06-10 20:19 <DIR> d-------- C:\Programme\Alwil Software
2008-06-10 20:19 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-06-10 20:09 . 2008-06-13 11:01 605,184 --------- C:\WINDOWS\system32\ssqPjkIa.dll
2008-06-10 20:07 . 2008-06-10 20:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\AdobeUM
2008-06-10 20:00 . 2008-06-10 20:00 <DIR> d--hs---- C:\FOUND.001
2008-06-10 19:44 . 2008-06-10 19:43 29,334 -r-hs---- C:\WINDOWS\winudmr.exe
2008-06-09 18:35 . 2008-06-09 18:35 <DIR> d-------- C:\WINDOWS\nvidia icons
2008-06-09 18:35 . 2008-05-03 05:46 182,347 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-06-08 16:46 . 2008-06-08 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\media center programs
2008-06-08 15:27 . 2008-06-08 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Funcom
2008-05-22 22:02 . 2008-05-22 22:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-04-14 15:51 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2003-07-26 12:05 98,304 ----a-w C:\Programme\xp-AntiSpy.exe
.

((((((((((((((((((((((((((((( snapshot@2008-06-12_13.21.40.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-03 06:07:08 7,168 ----a-w C:\WINDOWS\assembly\GAC\IEExecRemote\1.0.5000.0__b03f5f7f11d50a3a\IEExecRemote.dll
+ 2008-06-13 09:27:32 8,192 ----a-w C:\WINDOWS\assembly\GAC\IEExecRemote\1.0.5000.0__b03f5f7f11d50a3a\IEExecRemote.dll
- 2005-10-03 06:07:06 32,768 ----a-w C:\WINDOWS\assembly\GAC\IEHost\1.0.5000.0__b03f5f7f11d50a3a\IEHost.dll
+ 2008-06-13 09:27:34 32,768 ----a-w C:\WINDOWS\assembly\GAC\IEHost\1.0.5000.0__b03f5f7f11d50a3a\IEHost.dll
- 2005-10-03 06:07:06 716,800 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.JScript\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.JScript.dll
+ 2008-06-13 09:27:38 720,896 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.JScript\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.JScript.dll
- 2005-10-03 06:07:06 299,008 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll
+ 2008-06-13 09:27:34 299,008 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll
- 2005-10-03 06:07:08 32,768 ----a-w C:\WINDOWS\assembly\GAC\Regcode\1.0.5000.0__b03f5f7f11d50a3a\RegCode.dll
+ 2008-06-13 09:27:38 32,768 ----a-w C:\WINDOWS\assembly\GAC\Regcode\1.0.5000.0__b03f5f7f11d50a3a\RegCode.dll
- 2005-10-03 06:07:08 299,008 ----a-w C:\WINDOWS\assembly\GAC\System.Data.OracleClient\1.0.5000.0__b77a5c561934e089\System.Data.OracleClient.dll
+ 2008-06-13 09:27:36 303,104 ----a-w C:\WINDOWS\assembly\GAC\System.Data.OracleClient\1.0.5000.0__b77a5c561934e089\System.Data.OracleClient.dll
- 2005-10-03 06:07:08 1,290,240 ----a-w C:\WINDOWS\assembly\GAC\System.Data\1.0.5000.0__b77a5c561934e089\System.Data.dll
+ 2008-06-13 09:27:38 1,294,336 ----a-w C:\WINDOWS\assembly\GAC\System.Data\1.0.5000.0__b77a5c561934e089\System.Data.dll
- 2005-10-03 06:07:08 1,699,840 ----a-w C:\WINDOWS\assembly\GAC\System.Design\1.0.5000.0__b03f5f7f11d50a3a\System.Design.dll
+ 2008-06-13 09:27:34 1,703,936 ----a-w C:\WINDOWS\assembly\GAC\System.Design\1.0.5000.0__b03f5f7f11d50a3a\System.Design.dll
- 2005-10-03 06:07:08 86,016 ----a-w C:\WINDOWS\assembly\GAC\System.DirectoryServices\1.0.5000.0__b03f5f7f11d50a3a\System.DirectoryServices.dll
+ 2008-06-13 09:27:38 90,112 ----a-w C:\WINDOWS\assembly\GAC\System.DirectoryServices\1.0.5000.0__b03f5f7f11d50a3a\System.DirectoryServices.dll
- 2005-10-03 06:07:08 466,944 ----a-w C:\WINDOWS\assembly\GAC\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a\System.Drawing.dll
+ 2008-06-13 09:27:36 466,944 ----a-w C:\WINDOWS\assembly\GAC\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a\System.Drawing.dll
- 2005-10-03 06:07:08 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
+ 2008-06-13 09:27:36 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll
- 2005-10-03 06:07:08 64,000 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.Thunk.dll
+ 2008-06-13 09:27:36 66,560 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.Thunk.dll
- 2005-10-03 06:07:08 368,640 ----a-w C:\WINDOWS\assembly\GAC\System.Management\1.0.5000.0__b03f5f7f11d50a3a\System.Management.dll
+ 2008-06-13 09:27:38 372,736 ----a-w C:\WINDOWS\assembly\GAC\System.Management\1.0.5000.0__b03f5f7f11d50a3a\System.Management.dll
- 2005-10-03 06:07:08 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.Messaging\1.0.5000.0__b03f5f7f11d50a3a\System.Messaging.dll
+ 2008-06-13 09:27:38 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.Messaging\1.0.5000.0__b03f5f7f11d50a3a\System.Messaging.dll
- 2005-10-03 06:07:08 323,584 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Remoting\1.0.5000.0__b77a5c561934e089\System.Runtime.Remoting.dll
+ 2008-06-13 09:27:36 323,584 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Remoting\1.0.5000.0__b77a5c561934e089\System.Runtime.Remoting.dll
- 2005-10-03 06:07:08 131,072 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Serialization.Formatters.Soap\1.0.5000.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll
+ 2008-06-13 09:27:36 131,072 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Serialization.Formatters.Soap\1.0.5000.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll
- 2005-10-03 06:07:08 77,824 ----a-w C:\WINDOWS\assembly\GAC\System.Security\1.0.5000.0__b03f5f7f11d50a3a\System.Security.dll
+ 2008-06-13 09:27:36 77,824 ----a-w C:\WINDOWS\assembly\GAC\System.Security\1.0.5000.0__b03f5f7f11d50a3a\System.Security.dll
- 2005-10-03 06:07:08 126,976 ----a-w C:\WINDOWS\assembly\GAC\System.ServiceProcess\1.0.5000.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
+ 2008-06-13 09:27:38 126,976 ----a-w C:\WINDOWS\assembly\GAC\System.ServiceProcess\1.0.5000.0__b03f5f7f11d50a3a\System.ServiceProcess.dll
- 2005-10-03 06:07:08 819,200 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Mobile\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Mobile.dll
+ 2008-06-13 09:27:32 819,200 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Mobile\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Mobile.dll
- 2005-10-03 06:07:08 57,344 ----a-w C:\WINDOWS\assembly\GAC\System.Web.RegularExpressions\1.0.5000.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll
+ 2008-06-13 09:27:36 57,344 ----a-w C:\WINDOWS\assembly\GAC\System.Web.RegularExpressions\1.0.5000.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll
- 2005-10-03 06:07:08 569,344 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Services\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Services.dll
+ 2008-06-13 09:27:34 573,440 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Services\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Services.dll
- 2005-10-03 06:07:08 1,245,184 ----a-w C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll
+ 2008-06-13 09:27:38 1,257,472 ----a-w C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll
- 2005-10-03 06:07:08 2,039,808 ----a-w C:\WINDOWS\assembly\GAC\System.Windows.Forms\1.0.5000.0__b77a5c561934e089\System.Windows.Forms.dll
+ 2008-06-13 09:27:36 2,052,096 ----a-w C:\WINDOWS\assembly\GAC\System.Windows.Forms\1.0.5000.0__b77a5c561934e089\System.Windows.Forms.dll
- 2005-10-03 06:07:08 1,335,296 ----a-w C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.Xml.dll
+ 2008-06-13 09:27:36 1,339,392 ----a-w C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.XML.dll
- 2005-10-03 06:07:08 1,216,512 ----a-w C:\WINDOWS\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll
+ 2008-06-13 09:27:38 1,224,704 ----a-w C:\WINDOWS\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll
+ 2008-06-13 09:27:48 61,440 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\CustomMarshalers\1.0.5000.0__b03f5f7f11d50a3a_e647e765\CustomMarshalers.dll
+ 2008-06-13 09:28:40 3,379,200 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_d5990361\mscorlib.dll
+ 2008-06-13 09:28:36 1,466,368 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Design\1.0.5000.0__b03f5f7f11d50a3a_8ace6ed4\System.Design.dll
+ 2008-06-13 09:27:52 90,112 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Drawing.Design\1.0.5000.0__b03f5f7f11d50a3a_66d6d6e5\System.Drawing.Design.dll
+ 2008-06-13 09:28:38 835,584 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a_8844ad6c\System.Drawing.dll
+ 2008-06-13 09:27:58 3,014,656 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Windows.Forms\1.0.5000.0__b77a5c561934e089_f0ec7a55\System.Windows.Forms.dll
+ 2008-06-13 09:28:30 2,088,960 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_0a3a2130\System.Xml.dll
+ 2008-06-13 09:27:48 1,953,792 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System\1.0.5000.0__b77a5c561934e089_0adff723\System.dll
- 2008-06-12 11:20:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-13 09:29:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-14 15:51:00 273,024 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys
- 2004-10-28 01:14:18 448,128 ------w C:\WINDOWS\Driver Cache\i386\mrxsmb.sys
+ 2006-05-05 09:41:46 453,120 ------w C:\WINDOWS\Driver Cache\i386\mrxsmb.sys
- 2003-02-20 17:19:32 253,952 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
+ 2004-07-14 23:49:16 258,048 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
- 2003-02-20 17:19:34 20,480 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis.exe
+ 2004-07-14 23:49:18 20,480 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis.exe
- 2003-02-20 17:19:38 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
+ 2004-07-14 23:49:26 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
- 2003-02-20 17:19:36 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe
+ 2004-07-14 23:49:22 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe
- 2003-02-20 17:09:08 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll
+ 2004-07-14 22:32:22 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll
- 2003-02-21 08:20:44 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe
+ 2004-07-15 09:23:28 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe
- 2003-02-21 08:21:00 626,688 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\cscomp.dll
+ 2004-07-15 09:23:44 626,688 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\cscomp.dll
- 2003-02-20 17:06:20 282,624 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll
+ 2004-07-14 22:24:30 282,624 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll
+ 2003-10-08 12:30:14 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\gacutil.exe
- 2003-02-21 05:24:38 7,168 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEExecRemote.dll
+ 2004-07-15 12:31:00 8,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEExecRemote.dll
- 2003-02-21 05:24:40 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEHost.dll
+ 2004-07-15 12:31:04 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEHost.dll
- 2003-02-20 17:09:40 196,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ilasm.exe
+ 2004-07-14 22:35:30 196,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ilasm.exe
- 2003-02-21 05:26:36 716,800 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.dll
+ 2004-07-15 12:28:58 720,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.dll
- 2003-02-21 05:26:38 299,008 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.dll
+ 2004-07-15 12:28:56 299,008 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.dll
- 2003-02-21 05:25:04 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPol.exe
+ 2004-07-15 12:28:50 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPol.exe
- 2003-02-21 05:25:04 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPolWin.exe
+ 2004-07-15 12:28:50 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPolWin.exe
- 2003-02-20 17:09:12 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbc.dll
+ 2004-07-14 22:32:44 86,016 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbc.dll
- 2003-02-20 17:09:12 233,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbi.dll
+ 2004-07-14 22:32:46 233,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbi.dll
- 2003-02-20 17:06:32 311,296 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll
+ 2004-07-14 22:25:06 315,392 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll
- 2003-02-20 17:09:16 98,304 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorld.dll
+ 2004-07-14 22:33:04 102,400 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorld.dll
- 2003-02-21 05:26:34 2,088,960 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll
+ 2004-07-15 12:29:02 2,138,112 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll
- 2003-02-20 17:09:18 143,360 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorrc.dll
+ 2004-07-14 22:33:22 143,360 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorrc.dll
- 2003-02-20 17:09:18 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsec.dll
+ 2004-07-14 22:33:24 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsec.dll
- 2003-02-20 17:07:34 2,494,464 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsvr.dll
+ 2004-07-14 22:26:52 2,510,848 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsvr.dll
- 2003-02-20 17:08:32 2,482,176 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll
+ 2004-07-14 22:28:34 2,502,656 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll
+ 2004-08-10 14:20:00 106,496 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe
- 2003-02-20 17:09:30 90,112 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\PerfCounter.dll
+ 2004-07-14 22:34:50 94,208 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\PerfCounter.dll
- 2003-02-21 05:26:46 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\RegCode.dll
+ 2004-07-15 12:28:48 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\RegCode.dll
- 2003-02-20 17:09:34 319,488 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SOS.dll
+ 2004-07-14 22:35:04 319,488 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SOS.dll
- 2003-02-21 05:26:38 1,290,240 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.dll
+ 2004-07-15 12:32:00 1,294,336 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.dll
- 2003-02-21 05:25:42 299,008 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.OracleClient.dll
+ 2004-07-15 12:31:14 303,104 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.OracleClient.dll
- 2003-02-21 05:26:42 1,699,840 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Design.dll
+ 2004-07-15 12:29:02 1,703,936 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Design.dll
- 2003-02-21 05:26:44 86,016 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.DirectoryServices.dll
+ 2004-07-15 12:28:54 90,112 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.DirectoryServices.dll
- 2003-02-21 05:26:46 1,216,512 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.dll
+ 2004-07-15 12:31:16 1,224,704 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.dll
- 2003-02-21 05:26:50 466,944 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.dll
+ 2004-07-15 12:28:58 466,944 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.dll
- 2003-02-21 05:26:50 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.dll
+ 2004-07-15 12:28:56 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.dll
- 2003-02-20 17:09:36 64,000 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.Thunk.dll
+ 2004-07-14 22:35:12 66,560 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.Thunk.dll
- 2003-02-21 05:26:52 368,640 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Management.dll
+ 2004-07-15 12:31:58 372,736 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Management.dll
- 2003-02-21 05:26:54 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Messaging.dll
+ 2004-07-15 12:31:12 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Messaging.dll
- 2003-02-21 05:26:56 323,584 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Remoting.dll
+ 2004-07-15 12:28:58 323,584 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Remoting.dll
- 2003-02-21 05:26:56 131,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Serialization.Formatters.Soap.dll
+ 2004-07-15 12:31:54 131,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Serialization.Formatters.Soap.dll
- 2003-02-21 05:26:58 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Security.dll
+ 2004-07-15 12:28:52 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Security.dll
- 2003-02-21 05:27:00 126,976 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.ServiceProcess.dll
+ 2004-07-15 12:28:54 126,976 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.ServiceProcess.dll
- 2003-02-21 05:27:02 1,245,184 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll
+ 2004-07-15 12:29:00 1,257,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll
- 2003-02-21 05:27:06 819,200 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Mobile.dll
+ 2004-07-15 12:28:58 819,200 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Mobile.dll
- 2003-02-21 05:24:18 57,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.RegularExpressions.dll
+ 2004-07-15 12:28:52 57,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.RegularExpressions.dll
- 2003-02-21 05:27:06 569,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Services.dll
+ 2004-07-15 12:31:16 573,440 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Services.dll
- 2003-02-21 05:27:08 2,039,808 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.dll
+ 2004-07-15 12:32:02 2,052,096 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.dll
- 2003-02-21 05:27:10 1,335,296 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll
+ 2004-07-15 12:29:00 1,339,392 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll
+ 2004-06-22 11:51:38 53,248 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe
- 2003-02-21 08:20:38 737,280 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.exe
+ 2004-07-15 09:23:20 737,280 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.exe
- 2003-02-21 03:04:18 1,032,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\VsaVb7rt.dll
+ 2004-07-15 06:15:14 1,032,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\VsaVb7rt.dll
- 2003-02-20 18:10:40 31,744 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\WMINet_Utils.dll
+ 2004-07-15 00:11:56 31,744 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\WMINet_Utils.dll
+ 2008-06-13 09:18:38 9,512 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{E5DEFD03-92B3-4A11-8B1D-948071FD7D26}.bin
+ 2006-06-26 17:40:34 148,480 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
- 2001-08-18 10:00:00 79,360 ----a-w C:\WINDOWS\system32\dllcache\fontsub.dll
+ 2005-10-17 21:20:02 80,896 ----a-w C:\WINDOWS\system32\dllcache\fontsub.dll
+ 2006-05-05 09:41:46 453,120 ------w C:\WINDOWS\system32\dllcache\mrxsmb.sys
+ 2006-06-26 17:40:34 8,192 ------w C:\WINDOWS\system32\dllcache\rasadhlp.dll
+ 2006-05-05 09:47:58 174,592 ------w C:\WINDOWS\system32\dllcache\rdbss.sys
- 2004-08-10 22:41:00 229,376 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
+ 2007-10-20 04:01:32 227,328 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
- 2004-08-03 22:57:18 148,480 ----a-w C:\WINDOWS\system32\dnsapi.dll
+ 2006-06-26 17:40:34 148,480 ----a-w C:\WINDOWS\system32\dnsapi.dll
- 2004-08-03 21:01:20 124,800 ------w C:\WINDOWS\system32\drivers\fltmgr.sys
+ 2006-08-21 09:14:58 128,896 ------w C:\WINDOWS\system32\drivers\fltmgr.sys
- 2004-08-03 21:04:52 134,912 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
+ 2004-09-29 22:28:38 134,912 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
- 2004-10-28 01:14:18 448,128 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
+ 2006-05-05 09:41:46 453,120 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
- 2004-10-28 01:13:58 174,592 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
+ 2006-05-05 09:47:58 174,592 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
- 2004-08-03 22:57:20 1,094,144 ----a-w C:\WINDOWS\system32\esent.dll
+ 2005-10-20 22:25:06 1,094,144 ----a-w C:\WINDOWS\system32\esent.dll
- 2004-08-03 22:57:20 16,896 ------w C:\WINDOWS\system32\fltlib.dll
+ 2006-08-21 12:26:06 16,896 ----a-w C:\WINDOWS\system32\fltlib.dll
- 2004-08-03 22:57:54 22,528 ------w C:\WINDOWS\system32\fltmc.exe
+ 2006-08-21 09:14:58 23,040 ----a-w C:\WINDOWS\system32\fltmc.exe
- 2001-08-18 10:00:00 79,360 ----a-w C:\WINDOWS\system32\fontsub.dll
+ 2005-10-17 21:20:02 80,896 ----a-w C:\WINDOWS\system32\fontsub.dll
- 2004-08-03 22:57:24 18,944 ----a-w C:\WINDOWS\system32\linkinfo.dll
+ 2005-09-01 01:44:42 19,968 ----a-w C:\WINDOWS\system32\linkinfo.dll
- 2004-08-03 22:57:28 425,472 ----a-w C:\WINDOWS\system32\msdtcprx.dll
+ 2006-03-01 19:43:34 426,496 ----a-w C:\WINDOWS\system32\msdtcprx.dll
- 2004-08-03 22:57:28 949,248 ----a-w C:\WINDOWS\system32\msdtctm.dll
+ 2006-03-01 19:43:34 956,416 ----a-w C:\WINDOWS\system32\msdtctm.dll
- 2004-08-03 22:57:28 161,280 ----a-w C:\WINDOWS\system32\msdtcuiu.dll
+ 2006-03-01 19:43:34 161,280 ----a-w C:\WINDOWS\system32\msdtcuiu.dll
- 2004-08-03 22:57:30 66,560 ----a-w C:\WINDOWS\system32\mtxclu.dll
+ 2006-03-01 19:43:34 66,560 ----a-w C:\WINDOWS\system32\mtxclu.dll
- 2004-08-03 22:57:30 90,112 ----a-w C:\WINDOWS\system32\mtxoci.dll
+ 2006-03-01 19:43:34 91,136 ----a-w C:\WINDOWS\system32\mtxoci.dll
- 2008-06-12 10:45:14 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-13 09:27:26 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-06-12 10:45:14 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-13 09:27:26 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-12 10:45:14 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-13 09:27:26 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-06-12 10:45:14 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-13 09:27:26 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2004-08-03 22:57:34 8,192 ----a-w C:\WINDOWS\system32\rasadhlp.dll
+ 2006-06-26 17:40:34 8,192 ----a-w C:\WINDOWS\system32\rasadhlp.dll
- 2005-02-28 23:11:50 8,491,008 ----a-w C:\WINDOWS\system32\shell32.dll
+ 2006-03-17 04:03:36 8,493,056 ----a-w C:\WINDOWS\system32\shell32.dll
- 2004-08-03 22:57:34 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll
+ 2005-09-02 23:53:22 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll
- 2005-02-24 18:34:56 15,584 ------w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll
- 2005-02-25 03:34:54 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe
+ 2005-06-28 07:21:34 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe
- 2004-08-03 22:57:36 210,432 ----a-w C:\WINDOWS\system32\t2embed.dll
+ 2005-10-17 21:20:02 118,272 ----a-w C:\WINDOWS\system32\t2embed.dll
- 2005-06-30 02:05:34 119,296 ----a-w C:\WINDOWS\system32\umpnpmgr.dll
+ 2005-08-23 03:39:58 124,416 ----a-w C:\WINDOWS\system32\umpnpmgr.dll
+ 2006-03-17 00:38:02 28,672 ------w C:\WINDOWS\system32\verclsid.exe
- 2005-03-02 18:09:46 291,840 ----a-w C:\WINDOWS\system32\winsrv.dll
+ 2005-09-01 01:44:44 292,352 ----a-w C:\WINDOWS\system32\winsrv.dll
- 2004-08-10 22:41:00 229,376 ----a-w C:\WINDOWS\system32\wmasf.dll
+ 2007-10-20 04:01:32 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll
- 2004-08-10 22:41:20 5,550,080 ----a-w C:\WINDOWS\system32\wmp.dll
+ 2007-04-30 06:20:24 5,537,792 ----a-w C:\WINDOWS\system32\wmp.dll
- 2004-08-03 22:57:42 11,776 ----a-w C:\WINDOWS\system32\xolehlp.dll
+ 2006-03-01 19:43:34 11,776 ----a-w C:\WINDOWS\system32\xolehlp.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 07:31 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 16:53 65024 C:\WINDOWS\soundman.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
-ra------ 2007-08-09 15:48 528384 C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2006-01-04 09:43 1060864 C:\Programme\VIA\RAID\raid_tool.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:31]
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 11:38]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-17 07:31]
R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]
S3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-11-22 11:33]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-05-02 11:07]
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52]

.
Inhalt des "geplante Tasks" Ordners
"2006-12-27 06:48:06 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1167205663.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-13 11:33:12
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-13 11:33:26
ComboFix-quarantined-files.txt 2008-06-13 09:33:26
ComboFix2.txt 2008-06-12 11:32:42

11 Verzeichnis(se), 14,674,083,840 Bytes frei
26 Verzeichnis(se), 14,657,880,064 Bytes frei

377 --- E O F --- 2008-06-13 09:28:37

EDIT:

juhu ich kann wieder an meinem rechner arbeiten :-)
vieeeeeeelen lieben dank schon mal

#10 Hallo,

1.
http://virus-protect.org/artikel/tools/gvkiller.html
Doppelklick GV-Killer und TextEditor wird sich öffnen
kopiere das Unterstehende rein:

Zitat

C:\WINDOWS\BM4bb76e54.xml
C:\WINDOWS\system32\ssqPjkIa.dll
C:\WINDOWS\system32\jtewfomk.dll
C:\WINDOWS\winudmr.exe

speichere die Daten (Speichern als...) - input.txt - Speichern

Klicke "Kill on reboot" und lass den Rechner neu starten

2.
sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

poste nach neustart den report von sdfix
__________
MfG Sabina

rund um die PC-Sicherheit

#11 wundervoll, so schnell lief mein rechner schon lange nicht mehr
+riesenfreu+ danke nochmals


SDFix: Version 1.191
Run by Edy on 13.06.2008 at 14:05

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\Edy.C4\Desktop\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-13 14:08:19
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"="C:\\Programme\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"="C:\\Programme\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :



Files with Hidden Attributes :

Thu 26 Apr 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM\DRMv1.bak"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\67c8fc01100a7555e3d40c5e21ad4a52\BIT15.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c14617d62c03da862c5f44d868c7fc68\BIT16.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1c201051715959785fefad2b544bc2f3\BIT1A.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\535f8b4469f5edde5b1c143639618110\BIT1D.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ded1977529d5ff1eb93d4d1ec5bee02f\BIT22.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4a166e80554b40a4d5e0c32025526997\BIT26.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ab0a3e8d07e5b84dadbc8b717f97eafd\BITB.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\08a7f9c65397257d6349b531b2557183\BITD.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\514e3995b744d192301873f34b98a2c6\BITF.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\90f5e334d0ba5622a7312ca9a96b827a\BIT11.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT1.tmp"
Fri 6 Jun 2008 857 ...HR --- "C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\67554651f3457529045198b6b8a94d04\download\BIT2D.tmp"
Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9f52acdf769d28aafa6d4f15d1de5ba0\download\BIT2E.tmp"

Finished!

#12 ««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

(oder, wenn es nicht funktioniert: C:\QooBox löschen)

««
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hier:

ComboFix 08-06-11.7 - Edy 2008-06-13 20:45:44.7 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.754 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Edy.C4\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-13 bis 2008-06-13 ))))))))))))))))))))))))))))))
.

2008-06-13 14:04 . 2008-06-13 14:04 <DIR> d-------- C:\WINDOWS\ERUNT
2008-06-13 13:57 . 2008-06-13 17:01 104 --a------ C:\WINDOWS\system32\NvApps.xml
2008-06-13 13:55 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb
2008-06-13 13:54 . 2008-06-13 13:55 <DIR> d-------- C:\Programme\GV_Killer
2008-06-13 11:37 . 2008-06-13 11:37 <DIR> d-------- C:\_OTMoveIt
2008-06-13 11:34 . 2007-07-09 15:11 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-06-13 11:27 . 2006-08-21 11:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
2008-06-13 11:27 . 2006-08-21 11:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-06-13 11:27 . 2006-08-21 14:26 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-06-13 11:23 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 10:19 . 2008-06-13 10:20 <DIR> d-------- C:\RVAXO
2008-06-13 10:08 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-06-13 10:08 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-06-13 10:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-13 10:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-13 10:06 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-13 10:06 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-13 10:06 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-13 10:06 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-13 10:06 . 2008-06-13 10:06 1,122 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\Malwarebytes
2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-06-13 09:55 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-13 09:55 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-13 09:49 . 2008-06-13 09:49 <DIR> d-------- C:\Programme\Simplyzip
2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T
2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T
2008-06-12 13:14 . 2008-06-12 13:14 <DIR> d-------- C:\Programme\Trend Micro
2008-06-11 14:08 . 2008-06-11 14:08 <DIR> d--hs---- C:\FOUND.002
2008-06-11 13:20 . 2008-06-11 13:20 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2008-06-11 13:14 . 2008-06-11 13:14 <DIR> d-------- C:\Programme\CCleaner
2008-06-10 20:19 . 2008-06-10 20:19 <DIR> d-------- C:\Programme\Alwil Software
2008-06-10 20:19 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-06-10 20:07 . 2008-06-10 20:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\AdobeUM
2008-06-10 20:00 . 2008-06-10 20:00 <DIR> d--hs---- C:\FOUND.001
2008-06-09 18:35 . 2008-06-09 18:35 <DIR> d-------- C:\WINDOWS\nvidia icons
2008-06-09 18:35 . 2008-05-03 05:46 182,347 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-06-08 16:46 . 2008-06-08 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\media center programs
2008-06-08 15:27 . 2008-06-08 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Funcom
2008-05-22 22:02 . 2008-05-22 22:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\RMCast.sys
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-04-17 10:52 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2008-04-14 15:51 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
2003-07-26 12:05 98,304 ----a-w C:\Programme\xp-AntiSpy.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 07:31 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 16:53 65024 C:\WINDOWS\soundman.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
-ra------ 2007-08-09 15:48 528384 C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2006-01-04 09:43 1060864 C:\Programme\VIA\RAID\raid_tool.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:31]
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 11:38]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-17 07:31]
R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]
S3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-11-22 11:33]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-05-02 11:07]
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52]

.
Inhalt des "geplante Tasks" Ordners
"2006-12-27 06:48:06 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1167205663.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-13 20:46:39
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-13 20:46:53
ComboFix2.txt 2008-06-13 09:58:42
ComboFix-quarantined-files.txt 2008-06-13 18:46:54

12 Verzeichnis(se), 13,888,110,592 Bytes frei
27 Verzeichnis(se), 13,869,154,304 Bytes frei

138 --- E O F --- 2008-06-13 13:25:42

#14 Hallo,

««
mache einen Onlinescan mit bitdefender + poste hier den report
http://virus-protect.org/onlinescan.html

««
boote in den abgesicherten modus, stelle den Antivirus auf Expertenmodus, Heuristik: hoch, scanne + poste den report


__________
MfG Sabina

rund um die PC-Sicherheit

#15 kostet dieser bitedefender irgendwas?


Onlinescan:

BitDefender Online Scanner - Real Time Virus Report

Generated at: Fri, Jun 13, 2008 - 21:58:52
Scanned Files
149531

Infected Files
4

Virus Detected

Trojan.Vundo.ETD
1

Trojan.Vundo.ESK
1

Trojan.Dropper.SBM
2

------------------------

AntiVir Scan:
Avira AntiVir Personal


Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '24' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{0FAA8D29-4A16-4614-8641-DA9B8080B14B}\RP43\A0030877.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.NirCmd.D
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <PROGRAMME_1>
Beginne mit der Suche in 'E:\' <Spiele>


Ende des Suchlaufs: Freitag, 13. Juni 2008 22:32
Benötigte Zeit: 28:47 min