TR/Monder.327668 |
||
---|---|---|
#0
| ||
12.06.2008, 14:00
...neu hier
Beiträge: 9 |
||
|
||
12.06.2008, 16:39
Moderator
Beiträge: 5694 |
#2
Hallo Acryptica
« Lade folgende Datei bei www.virustotal.com/de hoch und poste das Ergebnis C:\is155815.exe C:\WINDOWS\system32\ssqPjkIa.dll C:\WINDOWS\winudmr.exe « mit dem HijackThis löschen ("fixen") Klicke: "Do a system scan only" Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu. Zitat O4 - HKLM\..\Run: [BM4bb76e54] Rundll32.exe "C:\WINDOWS\system32\awlvpsqc.dll",s« wende smitfraudfix Option 2 an (im abgesicherten modus) http://virus-protect.org/artikel/tools/smitfrautfix.html « wende rvaxo im abgesicherten Modus an + poste dann den report hier http://virus-protect.org/artikel/tools/rvaxo.html « scannen + poste den report http://virus-protect.org/artikel/tools/malwarebytes.html Gruss Swiss |
|
|
||
13.06.2008, 09:34
...neu hier
Themenstarter Beiträge: 9 |
#3
C:\is155815.exe
C:\WINDOWS\winudmr.exe diese beiden find ich gar nicht erst, wie stell ich das an? soll ich mit den anderen anweisungen weiter machen? edit: dazu kommt noch, dass ich auf meinem rechner diese und andere seiten gar nicht mehr öffnen kann, er lädt ewig und es kommt nix somit musst ich nun mit zwei rechnern arbeiten um das problem zu beheben... Dieser Beitrag wurde am 13.06.2008 um 09:38 Uhr von Acryptica editiert.
|
|
|
||
13.06.2008, 11:13
Ehrenmitglied
Beiträge: 29434 |
#4
Acryptica
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden ----------------- «« wende windowsscan an + poste den report hier http://virus-protect.org/artikel/tools/windowsscan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.06.2008, 11:31
...neu hier
Themenstarter Beiträge: 9 |
#5
Die 30 neuesten Dateien im Ordner Windows:
***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS ***** ***** ***** ***** ***** ***** 2008-06-13 KB920683.log 11 19:2,727 2008-06-13 KB914389.log 11 19:2,716 2008-06-13 system.ini 11 18:227 2008-06-13 0.log 11 17:0 2008-06-13 wiadebug.log 11 17:159 2008-06-13 bootstat.dat 11 17:2,048 2008-06-13 wiaservc.log 11 16:50 2008-06-13 WindowsUpdate.log 11 16:454,923 2008-06-13 PSEXESVC.EXE 11 16:53,248 2008-06-13 BM4bb76e54.txt 10 31:19,272 Die 50 neuesten Dateien im Ordner Windows\system32: ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32 ***** ***** ***** ***** ***** ***** 2008-06-13 nvapps.xml 11 17:174,666 2008-06-13 PerfStringBackup.INI 11 07:967,166 2008-06-13 perfc009.dat 11 07:62,460 2008-06-13 perfh009.dat 11 07:401,372 2008-06-13 perfh007.dat 11 07:415,818 2008-06-13 perfc007.dat 11 07:75,116 2008-06-13 ssqPjkIa.dll 11 01:605,184 2008-06-13 tmp.txt 10 06:0 2008-06-13 tmp.reg 10 06:1,122 2008-06-11 jtewfomk.dll 13 42:81,007 2008-06-11 CONFIG.NT 13 19:2,953 2008-06-08 FNTCACHE.DAT 22 23:110,992 ***** ***** ***** ***** ***** ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts ***** ***** ***** ***** ***** ***** 127.0.0.1 localhost |
|
|
||
13.06.2008, 11:35
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo,
1. wende das script von Combofix an (siehe oben) 2. http://virus-protect.org/artikel/tools/otmoveIt.html öffne: OTMoveIt.exe OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move Zitat C:\WINDOWS\BM4bb76e54.txtKlicke auf den Roten MoveIt! 3. scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird, + poste hier den report http://virus-protect.org/artikel/tools/malwarebytes.html 4. poste das neue Log von Combofix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.06.2008, 11:38
...neu hier
Themenstarter Beiträge: 9 |
#7
wenn ich das script auf das combofixicon schiebe
startet es direkt... soll das so sein? o.O |
|
|
||
13.06.2008, 11:39
Ehrenmitglied
Beiträge: 29434 |
#8
entweder muss man noch mal aufs Symbol von Combofix klicken, aber es kann auch sein, dass es sofort losgeht ...
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.06.2008, 12:07
...neu hier
Themenstarter Beiträge: 9 |
#9
3)
----- OriMalwarebytes' Anti-Malware 1.17 Datenbank Version: 851 11:56:59 2008-06-13 mbam-log-6-13-2008 (11-56-59).txt Scan Art: Komplett Scan (C:\|D:\|E:\|) Objekte gescannt: 84698 Scan Dauer: 9 minute(s), 55 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: (Keine Malware Objekte gefunden) Infizierte Verzeichnisse: (Keine Malware Objekte gefunden) 4) ComboFix 08-06-10.5 - Edy 2008-06-13 11:32:18.5 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.686 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Edy.C4\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\WINDOWS\pskt.ini C:\WINDOWS\system32\aIkjPqss.ini C:\WINDOWS\system32\awlvpsqc.dll C:\WINDOWS\system32\ciepxqcm.dll C:\WINDOWS\system32\xxyaxXQK.dll . ((((((((((((((((((((((( Dateien erstellt von 2008-05-13 bis 2008-06-13 )))))))))))))))))))))))))))))) . 2008-06-13 11:27 . 2006-08-21 11:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys 2008-06-13 11:27 . 2006-08-21 11:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe 2008-06-13 11:27 . 2006-08-21 14:26 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll 2008-06-13 11:25 . 2008-06-13 11:28 1,374 --a------ C:\WINDOWS\imsins.BAK 2008-06-13 11:23 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-13 10:30 . 2008-06-13 10:31 0 --a------ C:\WINDOWS\BM4bb76e54.xml 2008-06-13 10:19 . 2008-06-13 10:20 <DIR> d-------- C:\RVAXO 2008-06-13 10:08 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-06-13 10:08 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-06-13 10:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-06-13 10:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-06-13 10:06 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-06-13 10:06 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-06-13 10:06 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-06-13 10:06 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-06-13 10:06 . 2008-06-13 10:06 1,122 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\Malwarebytes 2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2008-06-13 09:55 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-13 09:55 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-13 09:49 . 2008-06-13 09:49 <DIR> d-------- C:\Programme\Simplyzip 2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T 2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T 2008-06-12 13:14 . 2008-06-12 13:14 <DIR> d-------- C:\Programme\Trend Micro 2008-06-11 14:08 . 2008-06-11 14:08 <DIR> d--hs---- C:\FOUND.002 2008-06-11 13:42 . 2008-06-11 13:42 81,007 --a------ C:\WINDOWS\system32\jtewfomk.dll 2008-06-11 13:20 . 2008-06-11 13:20 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE 2008-06-11 13:14 . 2008-06-11 13:14 <DIR> d-------- C:\Programme\CCleaner 2008-06-10 20:19 . 2008-06-10 20:19 <DIR> d-------- C:\Programme\Alwil Software 2008-06-10 20:19 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-06-10 20:09 . 2008-06-13 11:01 605,184 --------- C:\WINDOWS\system32\ssqPjkIa.dll 2008-06-10 20:07 . 2008-06-10 20:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\AdobeUM 2008-06-10 20:00 . 2008-06-10 20:00 <DIR> d--hs---- C:\FOUND.001 2008-06-10 19:44 . 2008-06-10 19:43 29,334 -r-hs---- C:\WINDOWS\winudmr.exe 2008-06-09 18:35 . 2008-06-09 18:35 <DIR> d-------- C:\WINDOWS\nvidia icons 2008-06-09 18:35 . 2008-05-03 05:46 182,347 --a------ C:\WINDOWS\system32\nvapps.nvb 2008-06-08 16:46 . 2008-06-08 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\media center programs 2008-06-08 15:27 . 2008-06-08 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Funcom 2008-05-22 22:02 . 2008-05-22 22:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE 2008-04-14 15:51 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2003-07-26 12:05 98,304 ----a-w C:\Programme\xp-AntiSpy.exe . ((((((((((((((((((((((((((((( snapshot@2008-06-12_13.21.40.35 ))))))))))))))))))))))))))))))))))))))))) . - 2005-10-03 06:07:08 7,168 ----a-w C:\WINDOWS\assembly\GAC\IEExecRemote\1.0.5000.0__b03f5f7f11d50a3a\IEExecRemote.dll + 2008-06-13 09:27:32 8,192 ----a-w C:\WINDOWS\assembly\GAC\IEExecRemote\1.0.5000.0__b03f5f7f11d50a3a\IEExecRemote.dll - 2005-10-03 06:07:06 32,768 ----a-w C:\WINDOWS\assembly\GAC\IEHost\1.0.5000.0__b03f5f7f11d50a3a\IEHost.dll + 2008-06-13 09:27:34 32,768 ----a-w C:\WINDOWS\assembly\GAC\IEHost\1.0.5000.0__b03f5f7f11d50a3a\IEHost.dll - 2005-10-03 06:07:06 716,800 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.JScript\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.JScript.dll + 2008-06-13 09:27:38 720,896 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.JScript\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.JScript.dll - 2005-10-03 06:07:06 299,008 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll + 2008-06-13 09:27:34 299,008 ----a-w C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.dll - 2005-10-03 06:07:08 32,768 ----a-w C:\WINDOWS\assembly\GAC\Regcode\1.0.5000.0__b03f5f7f11d50a3a\RegCode.dll + 2008-06-13 09:27:38 32,768 ----a-w C:\WINDOWS\assembly\GAC\Regcode\1.0.5000.0__b03f5f7f11d50a3a\RegCode.dll - 2005-10-03 06:07:08 299,008 ----a-w C:\WINDOWS\assembly\GAC\System.Data.OracleClient\1.0.5000.0__b77a5c561934e089\System.Data.OracleClient.dll + 2008-06-13 09:27:36 303,104 ----a-w C:\WINDOWS\assembly\GAC\System.Data.OracleClient\1.0.5000.0__b77a5c561934e089\System.Data.OracleClient.dll - 2005-10-03 06:07:08 1,290,240 ----a-w C:\WINDOWS\assembly\GAC\System.Data\1.0.5000.0__b77a5c561934e089\System.Data.dll + 2008-06-13 09:27:38 1,294,336 ----a-w C:\WINDOWS\assembly\GAC\System.Data\1.0.5000.0__b77a5c561934e089\System.Data.dll - 2005-10-03 06:07:08 1,699,840 ----a-w C:\WINDOWS\assembly\GAC\System.Design\1.0.5000.0__b03f5f7f11d50a3a\System.Design.dll + 2008-06-13 09:27:34 1,703,936 ----a-w C:\WINDOWS\assembly\GAC\System.Design\1.0.5000.0__b03f5f7f11d50a3a\System.Design.dll - 2005-10-03 06:07:08 86,016 ----a-w C:\WINDOWS\assembly\GAC\System.DirectoryServices\1.0.5000.0__b03f5f7f11d50a3a\System.DirectoryServices.dll + 2008-06-13 09:27:38 90,112 ----a-w C:\WINDOWS\assembly\GAC\System.DirectoryServices\1.0.5000.0__b03f5f7f11d50a3a\System.DirectoryServices.dll - 2005-10-03 06:07:08 466,944 ----a-w C:\WINDOWS\assembly\GAC\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a\System.Drawing.dll + 2008-06-13 09:27:36 466,944 ----a-w C:\WINDOWS\assembly\GAC\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a\System.Drawing.dll - 2005-10-03 06:07:08 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll + 2008-06-13 09:27:36 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll - 2005-10-03 06:07:08 64,000 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.Thunk.dll + 2008-06-13 09:27:36 66,560 ----a-w C:\WINDOWS\assembly\GAC\System.EnterpriseServices\1.0.5000.0__b03f5f7f11d50a3a\System.EnterpriseServices.Thunk.dll - 2005-10-03 06:07:08 368,640 ----a-w C:\WINDOWS\assembly\GAC\System.Management\1.0.5000.0__b03f5f7f11d50a3a\System.Management.dll + 2008-06-13 09:27:38 372,736 ----a-w C:\WINDOWS\assembly\GAC\System.Management\1.0.5000.0__b03f5f7f11d50a3a\System.Management.dll - 2005-10-03 06:07:08 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.Messaging\1.0.5000.0__b03f5f7f11d50a3a\System.Messaging.dll + 2008-06-13 09:27:38 241,664 ----a-w C:\WINDOWS\assembly\GAC\System.Messaging\1.0.5000.0__b03f5f7f11d50a3a\System.Messaging.dll - 2005-10-03 06:07:08 323,584 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Remoting\1.0.5000.0__b77a5c561934e089\System.Runtime.Remoting.dll + 2008-06-13 09:27:36 323,584 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Remoting\1.0.5000.0__b77a5c561934e089\System.Runtime.Remoting.dll - 2005-10-03 06:07:08 131,072 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Serialization.Formatters.Soap\1.0.5000.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll + 2008-06-13 09:27:36 131,072 ----a-w C:\WINDOWS\assembly\GAC\System.Runtime.Serialization.Formatters.Soap\1.0.5000.0__b03f5f7f11d50a3a\System.Runtime.Serialization.Formatters.Soap.dll - 2005-10-03 06:07:08 77,824 ----a-w C:\WINDOWS\assembly\GAC\System.Security\1.0.5000.0__b03f5f7f11d50a3a\System.Security.dll + 2008-06-13 09:27:36 77,824 ----a-w C:\WINDOWS\assembly\GAC\System.Security\1.0.5000.0__b03f5f7f11d50a3a\System.Security.dll - 2005-10-03 06:07:08 126,976 ----a-w C:\WINDOWS\assembly\GAC\System.ServiceProcess\1.0.5000.0__b03f5f7f11d50a3a\System.ServiceProcess.dll + 2008-06-13 09:27:38 126,976 ----a-w C:\WINDOWS\assembly\GAC\System.ServiceProcess\1.0.5000.0__b03f5f7f11d50a3a\System.ServiceProcess.dll - 2005-10-03 06:07:08 819,200 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Mobile\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Mobile.dll + 2008-06-13 09:27:32 819,200 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Mobile\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Mobile.dll - 2005-10-03 06:07:08 57,344 ----a-w C:\WINDOWS\assembly\GAC\System.Web.RegularExpressions\1.0.5000.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll + 2008-06-13 09:27:36 57,344 ----a-w C:\WINDOWS\assembly\GAC\System.Web.RegularExpressions\1.0.5000.0__b03f5f7f11d50a3a\System.Web.RegularExpressions.dll - 2005-10-03 06:07:08 569,344 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Services\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Services.dll + 2008-06-13 09:27:34 573,440 ----a-w C:\WINDOWS\assembly\GAC\System.Web.Services\1.0.5000.0__b03f5f7f11d50a3a\System.Web.Services.dll - 2005-10-03 06:07:08 1,245,184 ----a-w C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll + 2008-06-13 09:27:38 1,257,472 ----a-w C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll - 2005-10-03 06:07:08 2,039,808 ----a-w C:\WINDOWS\assembly\GAC\System.Windows.Forms\1.0.5000.0__b77a5c561934e089\System.Windows.Forms.dll + 2008-06-13 09:27:36 2,052,096 ----a-w C:\WINDOWS\assembly\GAC\System.Windows.Forms\1.0.5000.0__b77a5c561934e089\System.Windows.Forms.dll - 2005-10-03 06:07:08 1,335,296 ----a-w C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.Xml.dll + 2008-06-13 09:27:36 1,339,392 ----a-w C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.XML.dll - 2005-10-03 06:07:08 1,216,512 ----a-w C:\WINDOWS\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll + 2008-06-13 09:27:38 1,224,704 ----a-w C:\WINDOWS\assembly\GAC\System\1.0.5000.0__b77a5c561934e089\System.dll + 2008-06-13 09:27:48 61,440 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\CustomMarshalers\1.0.5000.0__b03f5f7f11d50a3a_e647e765\CustomMarshalers.dll + 2008-06-13 09:28:40 3,379,200 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_d5990361\mscorlib.dll + 2008-06-13 09:28:36 1,466,368 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Design\1.0.5000.0__b03f5f7f11d50a3a_8ace6ed4\System.Design.dll + 2008-06-13 09:27:52 90,112 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Drawing.Design\1.0.5000.0__b03f5f7f11d50a3a_66d6d6e5\System.Drawing.Design.dll + 2008-06-13 09:28:38 835,584 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Drawing\1.0.5000.0__b03f5f7f11d50a3a_8844ad6c\System.Drawing.dll + 2008-06-13 09:27:58 3,014,656 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Windows.Forms\1.0.5000.0__b77a5c561934e089_f0ec7a55\System.Windows.Forms.dll + 2008-06-13 09:28:30 2,088,960 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_0a3a2130\System.Xml.dll + 2008-06-13 09:27:48 1,953,792 ----a-w C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System\1.0.5000.0__b77a5c561934e089_0adff723\System.dll - 2008-06-12 11:20:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-13 09:29:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-04-14 15:51:00 273,024 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys - 2004-10-28 01:14:18 448,128 ------w C:\WINDOWS\Driver Cache\i386\mrxsmb.sys + 2006-05-05 09:41:46 453,120 ------w C:\WINDOWS\Driver Cache\i386\mrxsmb.sys - 2003-02-20 17:19:32 253,952 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll + 2004-07-14 23:49:16 258,048 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll - 2003-02-20 17:19:34 20,480 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis.exe + 2004-07-14 23:49:18 20,480 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_regiis.exe - 2003-02-20 17:19:38 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe + 2004-07-14 23:49:26 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe - 2003-02-20 17:19:36 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe + 2004-07-14 23:49:22 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe - 2003-02-20 17:09:08 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll + 2004-07-14 22:32:22 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CORPerfMonExt.dll - 2003-02-21 08:20:44 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe + 2004-07-15 09:23:28 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\csc.exe - 2003-02-21 08:21:00 626,688 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\cscomp.dll + 2004-07-15 09:23:44 626,688 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\cscomp.dll - 2003-02-20 17:06:20 282,624 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll + 2004-07-14 22:24:30 282,624 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll + 2003-10-08 12:30:14 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\gacutil.exe - 2003-02-21 05:24:38 7,168 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEExecRemote.dll + 2004-07-15 12:31:00 8,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEExecRemote.dll - 2003-02-21 05:24:40 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEHost.dll + 2004-07-15 12:31:04 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\IEHost.dll - 2003-02-20 17:09:40 196,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ilasm.exe + 2004-07-14 22:35:30 196,608 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\ilasm.exe - 2003-02-21 05:26:36 716,800 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.dll + 2004-07-15 12:28:58 720,896 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.JScript.dll - 2003-02-21 05:26:38 299,008 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.dll + 2004-07-15 12:28:56 299,008 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.dll - 2003-02-21 05:25:04 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPol.exe + 2004-07-15 12:28:50 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPol.exe - 2003-02-21 05:25:04 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPolWin.exe + 2004-07-15 12:28:50 49,152 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MigPolWin.exe - 2003-02-20 17:09:12 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbc.dll + 2004-07-14 22:32:44 86,016 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbc.dll - 2003-02-20 17:09:12 233,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbi.dll + 2004-07-14 22:32:46 233,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscordbi.dll - 2003-02-20 17:06:32 311,296 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll + 2004-07-14 22:25:06 315,392 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorjit.dll - 2003-02-20 17:09:16 98,304 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorld.dll + 2004-07-14 22:33:04 102,400 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorld.dll - 2003-02-21 05:26:34 2,088,960 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll + 2004-07-15 12:29:02 2,138,112 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorlib.dll - 2003-02-20 17:09:18 143,360 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorrc.dll + 2004-07-14 22:33:22 143,360 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorrc.dll - 2003-02-20 17:09:18 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsec.dll + 2004-07-14 22:33:24 81,920 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsec.dll - 2003-02-20 17:07:34 2,494,464 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsvr.dll + 2004-07-14 22:26:52 2,510,848 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsvr.dll - 2003-02-20 17:08:32 2,482,176 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll + 2004-07-14 22:28:34 2,502,656 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll + 2004-08-10 14:20:00 106,496 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe - 2003-02-20 17:09:30 90,112 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\PerfCounter.dll + 2004-07-14 22:34:50 94,208 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\PerfCounter.dll - 2003-02-21 05:26:46 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\RegCode.dll + 2004-07-15 12:28:48 32,768 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\RegCode.dll - 2003-02-20 17:09:34 319,488 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SOS.dll + 2004-07-14 22:35:04 319,488 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\SOS.dll - 2003-02-21 05:26:38 1,290,240 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.dll + 2004-07-15 12:32:00 1,294,336 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.dll - 2003-02-21 05:25:42 299,008 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.OracleClient.dll + 2004-07-15 12:31:14 303,104 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Data.OracleClient.dll - 2003-02-21 05:26:42 1,699,840 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Design.dll + 2004-07-15 12:29:02 1,703,936 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Design.dll - 2003-02-21 05:26:44 86,016 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.DirectoryServices.dll + 2004-07-15 12:28:54 90,112 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.DirectoryServices.dll - 2003-02-21 05:26:46 1,216,512 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.dll + 2004-07-15 12:31:16 1,224,704 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.dll - 2003-02-21 05:26:50 466,944 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.dll + 2004-07-15 12:28:58 466,944 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Drawing.dll - 2003-02-21 05:26:50 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.dll + 2004-07-15 12:28:56 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.dll - 2003-02-20 17:09:36 64,000 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.Thunk.dll + 2004-07-14 22:35:12 66,560 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.EnterpriseServices.Thunk.dll - 2003-02-21 05:26:52 368,640 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Management.dll + 2004-07-15 12:31:58 372,736 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Management.dll - 2003-02-21 05:26:54 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Messaging.dll + 2004-07-15 12:31:12 241,664 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Messaging.dll - 2003-02-21 05:26:56 323,584 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Remoting.dll + 2004-07-15 12:28:58 323,584 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Remoting.dll - 2003-02-21 05:26:56 131,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Serialization.Formatters.Soap.dll + 2004-07-15 12:31:54 131,072 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Runtime.Serialization.Formatters.Soap.dll - 2003-02-21 05:26:58 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Security.dll + 2004-07-15 12:28:52 77,824 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Security.dll - 2003-02-21 05:27:00 126,976 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.ServiceProcess.dll + 2004-07-15 12:28:54 126,976 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.ServiceProcess.dll - 2003-02-21 05:27:02 1,245,184 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll + 2004-07-15 12:29:00 1,257,472 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll - 2003-02-21 05:27:06 819,200 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Mobile.dll + 2004-07-15 12:28:58 819,200 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Mobile.dll - 2003-02-21 05:24:18 57,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.RegularExpressions.dll + 2004-07-15 12:28:52 57,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.RegularExpressions.dll - 2003-02-21 05:27:06 569,344 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Services.dll + 2004-07-15 12:31:16 573,440 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.Services.dll - 2003-02-21 05:27:08 2,039,808 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.dll + 2004-07-15 12:32:02 2,052,096 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Windows.Forms.dll - 2003-02-21 05:27:10 1,335,296 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll + 2004-07-15 12:29:00 1,339,392 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll + 2004-06-22 11:51:38 53,248 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe - 2003-02-21 08:20:38 737,280 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.exe + 2004-07-15 09:23:20 737,280 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\vbc.exe - 2003-02-21 03:04:18 1,032,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\VsaVb7rt.dll + 2004-07-15 06:15:14 1,032,192 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\VsaVb7rt.dll - 2003-02-20 18:10:40 31,744 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\WMINet_Utils.dll + 2004-07-15 00:11:56 31,744 ----a-w C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\WMINet_Utils.dll + 2008-06-13 09:18:38 9,512 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{E5DEFD03-92B3-4A11-8B1D-948071FD7D26}.bin + 2006-06-26 17:40:34 148,480 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll - 2001-08-18 10:00:00 79,360 ----a-w C:\WINDOWS\system32\dllcache\fontsub.dll + 2005-10-17 21:20:02 80,896 ----a-w C:\WINDOWS\system32\dllcache\fontsub.dll + 2006-05-05 09:41:46 453,120 ------w C:\WINDOWS\system32\dllcache\mrxsmb.sys + 2006-06-26 17:40:34 8,192 ------w C:\WINDOWS\system32\dllcache\rasadhlp.dll + 2006-05-05 09:47:58 174,592 ------w C:\WINDOWS\system32\dllcache\rdbss.sys - 2004-08-10 22:41:00 229,376 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll + 2007-10-20 04:01:32 227,328 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll - 2004-08-03 22:57:18 148,480 ----a-w C:\WINDOWS\system32\dnsapi.dll + 2006-06-26 17:40:34 148,480 ----a-w C:\WINDOWS\system32\dnsapi.dll - 2004-08-03 21:01:20 124,800 ------w C:\WINDOWS\system32\drivers\fltmgr.sys + 2006-08-21 09:14:58 128,896 ------w C:\WINDOWS\system32\drivers\fltmgr.sys - 2004-08-03 21:04:52 134,912 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys + 2004-09-29 22:28:38 134,912 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys - 2004-10-28 01:14:18 448,128 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys + 2006-05-05 09:41:46 453,120 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys - 2004-10-28 01:13:58 174,592 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys + 2006-05-05 09:47:58 174,592 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys - 2004-08-03 22:57:20 1,094,144 ----a-w C:\WINDOWS\system32\esent.dll + 2005-10-20 22:25:06 1,094,144 ----a-w C:\WINDOWS\system32\esent.dll - 2004-08-03 22:57:20 16,896 ------w C:\WINDOWS\system32\fltlib.dll + 2006-08-21 12:26:06 16,896 ----a-w C:\WINDOWS\system32\fltlib.dll - 2004-08-03 22:57:54 22,528 ------w C:\WINDOWS\system32\fltmc.exe + 2006-08-21 09:14:58 23,040 ----a-w C:\WINDOWS\system32\fltmc.exe - 2001-08-18 10:00:00 79,360 ----a-w C:\WINDOWS\system32\fontsub.dll + 2005-10-17 21:20:02 80,896 ----a-w C:\WINDOWS\system32\fontsub.dll - 2004-08-03 22:57:24 18,944 ----a-w C:\WINDOWS\system32\linkinfo.dll + 2005-09-01 01:44:42 19,968 ----a-w C:\WINDOWS\system32\linkinfo.dll - 2004-08-03 22:57:28 425,472 ----a-w C:\WINDOWS\system32\msdtcprx.dll + 2006-03-01 19:43:34 426,496 ----a-w C:\WINDOWS\system32\msdtcprx.dll - 2004-08-03 22:57:28 949,248 ----a-w C:\WINDOWS\system32\msdtctm.dll + 2006-03-01 19:43:34 956,416 ----a-w C:\WINDOWS\system32\msdtctm.dll - 2004-08-03 22:57:28 161,280 ----a-w C:\WINDOWS\system32\msdtcuiu.dll + 2006-03-01 19:43:34 161,280 ----a-w C:\WINDOWS\system32\msdtcuiu.dll - 2004-08-03 22:57:30 66,560 ----a-w C:\WINDOWS\system32\mtxclu.dll + 2006-03-01 19:43:34 66,560 ----a-w C:\WINDOWS\system32\mtxclu.dll - 2004-08-03 22:57:30 90,112 ----a-w C:\WINDOWS\system32\mtxoci.dll + 2006-03-01 19:43:34 91,136 ----a-w C:\WINDOWS\system32\mtxoci.dll - 2008-06-12 10:45:14 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat + 2008-06-13 09:27:26 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat - 2008-06-12 10:45:14 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-06-13 09:27:26 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-06-12 10:45:14 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat + 2008-06-13 09:27:26 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat - 2008-06-12 10:45:14 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-06-13 09:27:26 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat - 2004-08-03 22:57:34 8,192 ----a-w C:\WINDOWS\system32\rasadhlp.dll + 2006-06-26 17:40:34 8,192 ----a-w C:\WINDOWS\system32\rasadhlp.dll - 2005-02-28 23:11:50 8,491,008 ----a-w C:\WINDOWS\system32\shell32.dll + 2006-03-17 04:03:36 8,493,056 ----a-w C:\WINDOWS\system32\shell32.dll - 2004-08-03 22:57:34 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll + 2005-09-02 23:53:22 474,112 ----a-w C:\WINDOWS\system32\shlwapi.dll - 2005-02-24 18:34:56 15,584 ------w C:\WINDOWS\system32\spmsg.dll + 2007-11-30 11:18:34 18,808 ------w C:\WINDOWS\system32\spmsg.dll - 2005-02-25 03:34:54 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe + 2005-06-28 07:21:34 22,752 ----a-w C:\WINDOWS\system32\spupdsvc.exe - 2004-08-03 22:57:36 210,432 ----a-w C:\WINDOWS\system32\t2embed.dll + 2005-10-17 21:20:02 118,272 ----a-w C:\WINDOWS\system32\t2embed.dll - 2005-06-30 02:05:34 119,296 ----a-w C:\WINDOWS\system32\umpnpmgr.dll + 2005-08-23 03:39:58 124,416 ----a-w C:\WINDOWS\system32\umpnpmgr.dll + 2006-03-17 00:38:02 28,672 ------w C:\WINDOWS\system32\verclsid.exe - 2005-03-02 18:09:46 291,840 ----a-w C:\WINDOWS\system32\winsrv.dll + 2005-09-01 01:44:44 292,352 ----a-w C:\WINDOWS\system32\winsrv.dll - 2004-08-10 22:41:00 229,376 ----a-w C:\WINDOWS\system32\wmasf.dll + 2007-10-20 04:01:32 227,328 ----a-w C:\WINDOWS\system32\wmasf.dll - 2004-08-10 22:41:20 5,550,080 ----a-w C:\WINDOWS\system32\wmp.dll + 2007-04-30 06:20:24 5,537,792 ----a-w C:\WINDOWS\system32\wmp.dll - 2004-08-03 22:57:42 11,776 ----a-w C:\WINDOWS\system32\xolehlp.dll + 2006-03-01 19:43:34 11,776 ----a-w C:\WINDOWS\system32\xolehlp.dll . -- Snapshot reset to current date -- . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088] "nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 07:31 262401] "SoundMan"="SOUNDMAN.EXE" [2004-02-26 16:53 65024 C:\WINDOWS\soundman.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.PIM1"= PCLEPIM1.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hp psc 1000 series.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hp psc 1000 series.lnk backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hpoddt01.exe.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hpoddt01.exe.lnk backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck] -ra------ 2007-08-09 15:48 528384 C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool] -ra------ 2006-01-04 09:43 1060864 C:\Programme\VIA\RAID\raid_tool.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:31] R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22] R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28] R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 11:38] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-17 07:31] R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00] S3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-11-22 11:33] S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-05-02 11:07] S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52] . Inhalt des "geplante Tasks" Ordners "2006-12-27 06:48:06 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1167205663.job" - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-13 11:33:12 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-13 11:33:26 ComboFix-quarantined-files.txt 2008-06-13 09:33:26 ComboFix2.txt 2008-06-12 11:32:42 11 Verzeichnis(se), 14,674,083,840 Bytes frei 26 Verzeichnis(se), 14,657,880,064 Bytes frei 377 --- E O F --- 2008-06-13 09:28:37 EDIT: juhu ich kann wieder an meinem rechner arbeiten :-) vieeeeeeelen lieben dank schon mal Dieser Beitrag wurde am 13.06.2008 um 12:14 Uhr von Acryptica editiert.
|
|
|
||
13.06.2008, 13:55
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo,
1. http://virus-protect.org/artikel/tools/gvkiller.html Doppelklick GV-Killer und TextEditor wird sich öffnen kopiere das Unterstehende rein: Zitat C:\WINDOWS\BM4bb76e54.xmlspeichere die Daten (Speichern als...) - input.txt - Speichern Klicke "Kill on reboot" und lass den Rechner neu starten 2. sdfix http://virus-protect.org/artikel/tools/sdfix.html unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y poste nach neustart den report von sdfix __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.06.2008, 14:17
...neu hier
Themenstarter Beiträge: 9 |
#11
wundervoll, so schnell lief mein rechner schon lange nicht mehr
+riesenfreu+ danke nochmals SDFix: Version 1.191 Run by Edy on 13.06.2008 at 14:05 Microsoft Windows XP [Version 5.1.2600] Running From: C:\DOKUME~1\Edy.C4\Desktop\SDFix\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-13 14:08:19 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"="C:\\Programme\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" "C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"="C:\\Programme\\MSN Messenger\\MsnMsgr.Exe:*:Enabled:Windows Live Messenger 8.1" "C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)" Remaining Files : Files with Hidden Attributes : Thu 26 Apr 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users.WINDOWS\DRM\DRMv1.bak" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\67c8fc01100a7555e3d40c5e21ad4a52\BIT15.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c14617d62c03da862c5f44d868c7fc68\BIT16.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1c201051715959785fefad2b544bc2f3\BIT1A.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\535f8b4469f5edde5b1c143639618110\BIT1D.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ded1977529d5ff1eb93d4d1ec5bee02f\BIT22.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4a166e80554b40a4d5e0c32025526997\BIT26.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ab0a3e8d07e5b84dadbc8b717f97eafd\BITB.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\08a7f9c65397257d6349b531b2557183\BITD.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\514e3995b744d192301873f34b98a2c6\BITF.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\90f5e334d0ba5622a7312ca9a96b827a\BIT11.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT1.tmp" Fri 6 Jun 2008 857 ...HR --- "C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\67554651f3457529045198b6b8a94d04\download\BIT2D.tmp" Fri 13 Jun 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9f52acdf769d28aafa6d4f15d1de5ba0\download\BIT2E.tmp" Finished! |
|
|
||
13.06.2008, 16:07
Ehrenmitglied
Beiträge: 29434 |
#12
««
ComboFix entfernen Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK" (oder, wenn es nicht funktioniert: C:\QooBox löschen) «« lade combofix neu + poste den report http://virus-protect.org/artikel/tools/combofix.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.06.2008, 20:56
...neu hier
Themenstarter Beiträge: 9 |
#13
hier:
ComboFix 08-06-11.7 - Edy 2008-06-13 20:45:44.7 - [color=red]FAT32[/color]x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.754 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Edy.C4\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . ((((((((((((((((((((((( Dateien erstellt von 2008-05-13 bis 2008-06-13 )))))))))))))))))))))))))))))) . 2008-06-13 14:04 . 2008-06-13 14:04 <DIR> d-------- C:\WINDOWS\ERUNT 2008-06-13 13:57 . 2008-06-13 17:01 104 --a------ C:\WINDOWS\system32\NvApps.xml 2008-06-13 13:55 . 2001-09-07 11:00 59,904 --a------ C:\WINDOWS\system32\wbemdisp.tlb 2008-06-13 13:54 . 2008-06-13 13:55 <DIR> d-------- C:\Programme\GV_Killer 2008-06-13 11:37 . 2008-06-13 11:37 <DIR> d-------- C:\_OTMoveIt 2008-06-13 11:34 . 2007-07-09 15:11 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll 2008-06-13 11:27 . 2006-08-21 11:14 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys 2008-06-13 11:27 . 2006-08-21 11:14 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe 2008-06-13 11:27 . 2006-08-21 14:26 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll 2008-06-13 11:23 . 2008-04-14 17:51 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-13 10:19 . 2008-06-13 10:20 <DIR> d-------- C:\RVAXO 2008-06-13 10:08 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat 2008-06-13 10:08 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe 2008-06-13 10:06 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-06-13 10:06 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-06-13 10:06 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-06-13 10:06 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-06-13 10:06 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-06-13 10:06 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-06-13 10:06 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-06-13 10:06 . 2008-06-13 10:06 1,122 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\Malwarebytes 2008-06-13 09:55 . 2008-06-13 09:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes 2008-06-13 09:55 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-13 09:55 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-13 09:49 . 2008-06-13 09:49 <DIR> d-------- C:\Programme\Simplyzip 2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORIT-T 2008-06-12 13:32 . <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORIT-T 2008-06-12 13:14 . 2008-06-12 13:14 <DIR> d-------- C:\Programme\Trend Micro 2008-06-11 14:08 . 2008-06-11 14:08 <DIR> d--hs---- C:\FOUND.002 2008-06-11 13:20 . 2008-06-11 13:20 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE 2008-06-11 13:14 . 2008-06-11 13:14 <DIR> d-------- C:\Programme\CCleaner 2008-06-10 20:19 . 2008-06-10 20:19 <DIR> d-------- C:\Programme\Alwil Software 2008-06-10 20:19 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-06-10 20:07 . 2008-06-10 20:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Anwendungsdaten\AdobeUM 2008-06-10 20:00 . 2008-06-10 20:00 <DIR> d--hs---- C:\FOUND.001 2008-06-09 18:35 . 2008-06-09 18:35 <DIR> d-------- C:\WINDOWS\nvidia icons 2008-06-09 18:35 . 2008-05-03 05:46 182,347 --a------ C:\WINDOWS\system32\nvapps.nvb 2008-06-08 16:46 . 2008-06-08 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\media center programs 2008-06-08 15:27 . 2008-06-08 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Funcom 2008-05-22 22:02 . 2008-05-22 22:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\RMCast.sys 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys 2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll 2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE 2008-04-17 10:52 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe 2008-04-14 15:51 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 187,168 ------w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:03 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys 2003-07-26 12:05 98,304 ----a-w C:\Programme\xp-AntiSpy.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088] "nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 07:31 262401] "SoundMan"="SOUNDMAN.EXE" [2004-02-26 16:53 65024 C:\WINDOWS\soundman.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.PIM1"= PCLEPIM1.dll [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hp psc 1000 series.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hp psc 1000 series.lnk backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hpoddt01.exe.lnk] path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hpoddt01.exe.lnk backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck] -ra------ 2007-08-09 15:48 528384 C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool] -ra------ 2006-01-04 09:43 1060864 C:\Programme\VIA\RAID\raid_tool.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"= "C:\\Programme\\MSN Messenger\\livecall.exe"= "C:\\Programme\\LimeWire\\LimeWire.exe"= R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:31] R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22] R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28] R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 11:38] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-17 07:31] R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00] S3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-11-22 11:33] S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-05-02 11:07] S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52] . Inhalt des "geplante Tasks" Ordners "2006-12-27 06:48:06 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1167205663.job" - C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-13 20:46:39 Windows 5.1.2600 Service Pack 2 FAT NTAPI Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-13 20:46:53 ComboFix2.txt 2008-06-13 09:58:42 ComboFix-quarantined-files.txt 2008-06-13 18:46:54 12 Verzeichnis(se), 13,888,110,592 Bytes frei 27 Verzeichnis(se), 13,869,154,304 Bytes frei 138 --- E O F --- 2008-06-13 13:25:42 |
|
|
||
13.06.2008, 21:01
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo,
«« mache einen Onlinescan mit bitdefender + poste hier den report http://virus-protect.org/onlinescan.html «« boote in den abgesicherten modus, stelle den Antivirus auf Expertenmodus, Heuristik: hoch, scanne + poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.06.2008, 21:23
...neu hier
Themenstarter Beiträge: 9 |
#15
kostet dieser bitedefender irgendwas?
Onlinescan: BitDefender Online Scanner - Real Time Virus Report Generated at: Fri, Jun 13, 2008 - 21:58:52 Scanned Files 149531 Infected Files 4 Virus Detected Trojan.Vundo.ETD 1 Trojan.Vundo.ESK 1 Trojan.Dropper.SBM 2 ------------------------ AntiVir Scan: Avira AntiVir Personal Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '24' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <SYSTEM> C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\System Volume Information\_restore{0FAA8D29-4A16-4614-8641-DA9B8080B14B}\RP43\A0030877.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.NirCmd.D [FUND] Enthält Erkennungsmuster der Anwendung APPL/Rmadmin.131072 [FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes [HINWEIS] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <PROGRAMME_1> Beginne mit der Suche in 'E:\' <Spiele> Ende des Suchlaufs: Freitag, 13. Juni 2008 22:32 Benötigte Zeit: 28:47 min Dieser Beitrag wurde am 13.06.2008 um 22:48 Uhr von Acryptica editiert.
|
|
|
||
2)
ComboFix 08-06-10.5 - Edy 2008-06-12 13:28:29.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.673 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Edy.C4\Desktop\ComboFix.exe
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM4bb76e54.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aIkjPqss.ini
C:\WINDOWS\system32\aIkjPqss.ini2
C:\WINDOWS\system32\khfCturP.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pkckcxca.dll
C:\WINDOWS\system32\semwnbom.dll
C:\WINDOWS\system32\uvqqkmlv.dll
C:\WINDOWS\system32\vlmkqqvu.ini
.
---- Previous Run -------
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\aIkjPqss.ini
C:\WINDOWS\system32\aIkjPqss.ini2
C:\WINDOWS\system32\awtrOhFy.dll
C:\WINDOWS\system32\ddcCVOIY.dll
C:\WINDOWS\system32\ddcDuTJa.dll
C:\WINDOWS\system32\dpinibym.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mybinipd.ini
C:\WINDOWS\system32\nnnoMCUm.dll
C:\WINDOWS\system32\opnlKBrS.dll
C:\WINDOWS\system32\rqRHaYrq.dll
C:\WINDOWS\system32\rqRIcyAr.dll
C:\WINDOWS\system32\urqOGWQi.dll
C:\WINDOWS\system32\urqQgggH.dll
C:\WINDOWS\system32\urqQjjiH.dll
C:\WINDOWS\system32\wwapthte.dll
C:\WINDOWS\system32\xxyaawvS.dll
C:\WINDOWS\system32\yotpaiir.dll
D:\Autorun.inf
.
((((((((((((((((((((((( Dateien erstellt von 2008-05-12 bis 2008-06-12 ))))))))))))))))))))))))))))))
.
2008-06-12 13:14 . 2008-06-12 13:14 <DIR> d-------- C:\Programme\Trend Micro
2008-06-11 14:08 . 2008-06-11 14:08 <DIR> d--hs---- C:\FOUND.002
2008-06-11 13:42 . 2008-06-11 13:42 81,007 --a------ C:\WINDOWS\system32\jtewfomk.dll
2008-06-11 13:20 . 2008-06-11 13:20 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2008-06-11 13:14 . 2008-06-11 13:14 <DIR> d-------- C:\Programme\CCleaner
2008-06-11 12:44 . 2008-06-11 14:56 2,232 --a------ C:\is155815.exe
2008-06-10 20:19 . 2008-06-10 20:19 <DIR> d-------- C:\Programme\Alwil Software
2008-06-10 20:19 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-06-10 20:09 . 2008-06-10 20:09 605,184 --a------ C:\WINDOWS\system32\ssqPjkIa.dll
2008-06-10 20:00 . 2008-06-10 20:00 <DIR> d--hs---- C:\FOUND.001
2008-06-10 19:44 . 2008-06-10 19:43 29,334 -r-hs---- C:\WINDOWS\winudmr.exe
2008-06-09 18:35 . 2008-06-09 18:35 <DIR> d-------- C:\WINDOWS\nvidia icons
2008-06-09 18:35 . 2008-05-03 05:46 182,347 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-06-08 16:46 . 2008-06-08 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\media center programs
2008-06-08 15:27 . 2008-06-08 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Funcom
2008-05-22 22:02 . 2008-05-22 22:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Edy.C4\Anwendungsdaten\SecuROM
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2003-07-26 12:05 98,304 ----a-w C:\Programme\xp-AntiSpy.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-12_13.21.40.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-12 11:20:14 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-12 11:30:40 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-12 10:45:14 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-12 11:24:28 75,116 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-06-12 10:45:14 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-12 11:24:28 62,460 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-12 10:45:14 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-12 11:24:28 415,818 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-06-12 10:45:14 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-12 11:24:28 401,372 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03FE1D40-E8F9-4C1C-B67D-299826A4F93F}]
2008-06-10 20:09 605184 --a------ C:\WINDOWS\system32\ssqPjkIa.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-17 07:31 262401]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 16:53 65024 C:\WINDOWS\soundman.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016]
"Windows Controls Center"="winudmr.exe" [2008-06-10 19:43 29334 C:\WINDOWS\winudmr.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{34DF45D1-6319-4A7F-84CA-7498BD0DAEFC}"= C:\WINDOWS\system32\xxyaxXQK.dll [2008-06-12 13:31 25088]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyaxXQK]
xxyaxXQK.dll 2008-06-12 13:31 25088 C:\WINDOWS\system32\xxyaxXQK.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hp psc 1000 series.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hp psc 1000 series.lnk
backup=C:\WINDOWS\pss\hp psc 1000 series.lnkCommon Startup
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=C:\WINDOWS\pss\hpoddt01.exe.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
-ra------ 2007-08-09 15:48 528384 C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2006-01-04 09:43 1060864 C:\Programme\VIA\RAID\raid_tool.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:31]
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-10-31 04:22]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 11:38]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-17 07:31]
R3 USRWGU(USR);USRobotics Wireless USB Adapter(USR);C:\WINDOWS\system32\DRIVERS\USRWGU.sys [2005-12-29 16:00]
S3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-11-22 11:33]
S3 imhidusb;Immersion's HID USB Driver;C:\WINDOWS\system32\DRIVERS\imhidusb.sys [2002-05-02 11:07]
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 19:52]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners
"2006-12-27 06:48:06 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1167205663.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-12 13:31:46
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\xxyaxXQK.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-12 13:32:39 - machine was rebooted [Edy]
ComboFix-quarantined-files.txt 2008-06-12 11:32:36
10 Verzeichnis(se), 15,433,564,160 Bytes frei
25 Verzeichnis(se), 15,418,556,416 Bytes frei
168
3)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:29, on 12.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\winudmr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Controls Center] winudmr.exe
O4 - HKLM\..\Run: [BM4bb76e54] Rundll32.exe "C:\WINDOWS\system32\awlvpsqc.dll",s
O4 - HKLM\..\Run: [48845dc8] rundll32.exe "C:\WINDOWS\system32\aarylawd.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204139742788
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
--
End of file - 4160 bytes
4)
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist SYSTEM
Volumeseriennummer: 4884-5D67
Verzeichnis von C:\WINDOWS\system32
12.06.2008 13:45 540'115 aIkjPqss.ini
12.06.2008 13:44 540'115 aIkjPqss.ini2
12.06.2008 13:38 1'641'229 dwalyraa.ini
12.06.2008 13:35 81'408 aarylawd.dll
12.06.2008 13:35 99'328 ciepxqcm.dll
12.06.2008 13:35 90'624 awlvpsqc.dll
12.06.2008 13:35 0 clkcnt.txt
12.06.2008 13:34 415'818 perfh007.dat
12.06.2008 13:34 75'116 perfc007.dat
12.06.2008 13:34 62'460 perfc009.dat
12.06.2008 13:34 401'372 perfh009.dat
12.06.2008 13:34 967'166 PerfStringBackup.INI
12.06.2008 13:31 25'088 xxyaxXQK.dll
12.06.2008 13:31 174'666 nvapps.xml
11.06.2008 13:42 81'007 jtewfomk.dll
11.06.2008 13:19 2'953 CONFIG.NT
10.06.2008 20:09 605'184 ssqPjkIa.dll
08.06.2008 22:23 110'992 FNTCACHE.DAT
04.06.2008 13:45 12'598 wpa.dbl
03.05.2008 05:46 4'136'960 nvvitvsr.dll
03.05.2008 05:46 2'629'632 nvwss.dll
03.05.2008 05:46 2'670'592 nvwssr.dll
03.05.2008 05:46 41'984 nvcod.dll
03.05.2008 05:46 18'070 nvdisp.nvu
03.05.2008 05:46 266'240 nvrsptb.dll
Ständig meldet sich AV und weist mich draufhin, dass sich dieser Trojaner
auf meinem Rechner befindet.
Wenn ich msn am laufen hab, verschickt sich dieser
getarnt weiter, inklusive smilies und text, was zum annehmen
animiert, so hab auch ich ihn bekommen.
Später war meine Firewall aus, dann hab ich die wieder angemacht
und die Viren mit AV entfernt, welche sich haben löschen lassen.
Auch im abgesicherten Modus konnte ich die betroffene Datei nicht entfernen.
Bitte helft mir!