Problem "Warning - Spyware detected..."

#16 schon mal der SDFix Report....starte jetzt regsearch..


SDFix: Version 1.218
Run by Adriana on 21.08.2008 at 01:13

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 01:19:11
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Thu 3 Jan 2008 12,411,017 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0d9de794b0d9e6a7b8de7e9941794fc1\BIT10.tmp"
Tue 10 Jun 2008 8,858,664 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a1f15177e45a6a3baf145c6c8d13e238\BITF.tmp"
Tue 10 Jun 2008 8,502,904 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbaf0df394fa14ff9f2c9298f5d2398a\BIT8.tmp"
Tue 8 Oct 2002 20,480 A..H. --- "C:\Dokumente und Einstellungen\Adriana\Eigene Dateien\Sonstiges Kopiert\Pension K”nigsberg\~WRL2828.tmp"

Finished!



und der log von regsearch:
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 21.08.2008 01:25:21 for strings:
; 'jos37'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Jos37.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jos37]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jos37]
"ImagePath"="System32\\Drivers\\Jos37.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jos37\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Jos37.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jos37]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jos37]
"ImagePath"="System32\\Drivers\\Jos37.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jos37\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Jos37.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jos37]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jos37]
"ImagePath"="System32\\Drivers\\Jos37.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jos37\Security]

; End Of The Log...

#17 ««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\Adriana\pthreadVC2.dll

C:\Dokumente und Einstellungen\Adriana\unzip32.dll

C:\Dokumente und Einstellungen\Adriana\htmlayout.dll


Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

-------------------------

Avenger
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Jos37.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jos37
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Jos37.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jos37
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Jos37.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jos37

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

----------------------------------

««
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

winreanimator

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

------------------------------------

««
http://virus-protect.org/artikel/tools/findawf.html

erster Schritt:
Doppelklick auf FindAWF.exe - und schreibe : 1 [Scan for bak folders] + klicke Enter

es wird ein Log (awf.txt) erstellt - kopiere es hier

««
wende smitfraudfix an - Option 1 und dann Option 2 - poste den report von Option 2
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Datei pthreadVC2.dll empfangen 2008.08.21 01:42:41 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/36 (0%)


Datei unzip32.dll empfangen 2008.08.21 01:45:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/36 (0%)


LOG von AVENGER

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Jos37.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jos37" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Jos37.sys" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jos37" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Jos37.sys" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Jos37.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jos37" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jos37" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.




Datei htmlayout.dll empfangen 2008.08.21 01:46:40 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/36 (8.34%



LOG von regsearch

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 21.08.2008 01:54:35 for strings:
; 'winreanimator'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...




Log von FindAWF



Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~



Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~



end of report


SO, UND HIER DER REPORT VON SMITFRAUTFIX - OPTION 2:
SmitFraudFix v2.338

Scan done at 2:09:46,82, 21.08.2008
Run from C:\Dokumente und Einstellungen\Adriana\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{19ED4086-4F1D-467E-970E-7042F563027C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{19ED4086-4F1D-467E-970E-7042F563027C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{19ED4086-4F1D-467E-970E-7042F563027C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Puhhh...




DAS IST JETZT ZIEMLICH UNÜBERSICHTLICH ABER ICH HOFFE SABINA DU FINDEST ALLES WAS DU BRAUCHST ???



Ich glaube, ich muß auch für heute Schluss machen - mir fallen schon die Augen zu!

Ich werde morgen früh gleich als erstes sehen, was Du geschrieben hast und an die heutigen Aktionen anknüpfen......

Erst einmal VIELEN DANK für den erstklassigen SUPPORT







HALLO UND GUTEN MORGEN.....BIN WIEDER DA!!

Sollte ich noch weitere Überprüfungenbzw. Dateilöschungen durchführen oder sieht mein Laptop jetzt gut aus?
Vielen Dank im Voraus!

#19 Guten Morgen,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\Adriana\pthreadVC2.dll

C:\Dokumente und Einstellungen\Adriana\unzip32.dll

C:\Dokumente und Einstellungen\Adriana\htmlayout.dll

bitte noch mal, dann bitte ALLES abkopieren - also den kompletten report

--------------------------
««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\Adriana\Microsoft.VC80.CRT" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Desktop" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Desktop" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#20 Alles Klar

********************************************************
Datei pthreadVC2.dll empfangen 2008.08.21 11:07:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.21 -
AntiVir 7.8.1.23 2008.08.21 -
Authentium 5.1.0.4 2008.08.21 -
Avast 4.8.1195.0 2008.08.20 -
AVG 8.0.0.161 2008.08.21 -
BitDefender 7.2 2008.08.21 -
CAT-QuickHeal 9.50 2008.08.20 -
ClamAV 0.93.1 2008.08.21 -
DrWeb 4.44.0.09170 2008.08.21 -
eSafe 7.0.17.0 2008.08.20 -
eTrust-Vet 31.6.6039 2008.08.21 -
Ewido 4.0 2008.08.20 -
F-Prot 4.4.4.56 2008.08.20 -
F-Secure 7.60.13501.0 2008.08.21 -
Fortinet 3.14.0.0 2008.08.21 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.21 -
K7AntiVirus 7.10.422 2008.08.20 -
Kaspersky 7.0.0.125 2008.08.21 -
McAfee 5365 2008.08.20 -
Microsoft 1.3807 2008.08.21 -
NOD32v2 3373 2008.08.21 -
Norman 5.80.02 2008.08.20 -
Panda 9.0.0.4 2008.08.21 -
PCTools 4.4.2.0 2008.08.20 -
Prevx1 V2 2008.08.21 -
Rising 20.58.32.00 2008.08.21 -
Sophos 4.32.0 2008.08.21 -
Sunbelt 3.1.1564.1 2008.08.20 -
Symantec 10 2008.08.21 -
TheHacker 6.3.0.6.056 2008.08.21 -
TrendMicro 8.700.0.1004 2008.08.21 -
VBA32 3.12.8.3 2008.08.20 -
ViRobot 2008.8.20.1342 2008.08.20 -
VirusBuster 4.5.11.0 2008.08.20 -
Webwasher-Gateway 6.6.2 2008.08.21 -
weitere Informationen
File size: 86070 bytes
MD5...: 0ab7d0e87f3843f8104b3670f5a9af62
SHA1..: 10c09a12e318f0fbebf70c4c42ad6ee31d9df2e5
SHA256: 8aecab563b3c629e8f9dcd525dc2d6b1903f6c600637e63b1efe05e3c64d757b
SHA512: e08e17167edf461c0fca1e8b649c0c395793e80f5400f5cbb7d7906d0c99e955
fcf6be2300db8663d413c4b3ffb075112a6ce5bf259553c0fd3d76200ee0d375
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000d0fd
timedatestamp.....: 0x458b2fea (Fri Dec 22 01:07:54 2006)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd27a 0xe000 5.27 141ad2be6d77b003f10f008501d26e72
.rdata 0xf000 0x13c0 0x2000 2.89 5121c98b2a11dcfb32f4d8c5fd744250
.data 0x11000 0x724 0x1000 0.32 15d6b38e54707087d081dfb8702a49ee
.idata 0x12000 0x818 0x1000 2.39 66a74830acfca8adf3717f3973242db3
.rsrc 0x13000 0x750 0x1000 1.18 8126b5a677df33121d85968c3b59d6cd
.reloc 0x14000 0xd76 0x1000 5.64 8704034086e429c1edf1eef17e06a403

( 3 imports )
> MSVCRT.dll: calloc, _onexit, __dllonexit, _adjust_fdiv, _initterm, _beginthreadex, malloc, exit, longjmp, _ftime, _errno, _setjmp3, _endthreadex, free
> WSOCK32.dll: -, -
> KERNEL32.dll: TlsSetValue, EnterCriticalSection, TlsAlloc, GetCurrentProcessId, OpenProcess, LoadLibraryA, WaitForMultipleObjects, FreeLibrary, GetProcAddress, SetThreadPriority, ReleaseSemaphore, SuspendThread, ResumeThread, GetThreadContext, SetThreadContext, TlsFree, CreateSemaphoreA, SetEvent, CloseHandle, WaitForSingleObject, CreateEventA, InterlockedExchangeAdd, InitializeCriticalSection, DeleteCriticalSection, LeaveCriticalSection, ResetEvent, GetCurrentProcess, GetCurrentThreadId, Sleep, GetThreadPriority, DuplicateHandle, GetCurrentThread, GetProcessAffinityMask, SetLastError, TlsGetValue, GetLastError, InterlockedDecrement

( 115 exports )
pthreadCancelableTimedWait, pthreadCancelableWait, pthread_attr_destroy, pthread_attr_getdetachstate, pthread_attr_getinheritsched, pthread_attr_getschedparam, pthread_attr_getschedpolicy, pthread_attr_getscope, pthread_attr_getstackaddr, pthread_attr_getstacksize, pthread_attr_init, pthread_attr_setdetachstate, pthread_attr_setinheritsched, pthread_attr_setschedparam, pthread_attr_setschedpolicy, pthread_attr_setscope, pthread_attr_setstackaddr, pthread_attr_setstacksize, pthread_barrier_destroy, pthread_barrier_init, pthread_barrier_wait, pthread_barrierattr_destroy, pthread_barrierattr_getpshared, pthread_barrierattr_init, pthread_barrierattr_setpshared, pthread_cancel, pthread_cond_broadcast, pthread_cond_destroy, pthread_cond_init, pthread_cond_signal, pthread_cond_timedwait, pthread_cond_wait, pthread_condattr_destroy, pthread_condattr_getpshared, pthread_condattr_init, pthread_condattr_setpshared, pthread_create, pthread_delay_np, pthread_detach, pthread_equal, pthread_exit, pthread_getconcurrency, pthread_getschedparam, pthread_getspecific, pthread_getw32threadhandle_np, pthread_join, pthread_key_create, pthread_key_delete, pthread_kill, pthread_mutex_destroy, pthread_mutex_init, pthread_mutex_lock, pthread_mutex_timedlock, pthread_mutex_trylock, pthread_mutex_unlock, pthread_mutexattr_destroy, pthread_mutexattr_getkind_np, pthread_mutexattr_getpshared, pthread_mutexattr_gettype, pthread_mutexattr_init, pthread_mutexattr_setkind_np, pthread_mutexattr_setpshared, pthread_mutexattr_settype, pthread_num_processors_np, pthread_once, pthread_rwlock_destroy, pthread_rwlock_init, pthread_rwlock_rdlock, pthread_rwlock_timedrdlock, pthread_rwlock_timedwrlock, pthread_rwlock_tryrdlock, pthread_rwlock_trywrlock, pthread_rwlock_unlock, pthread_rwlock_wrlock, pthread_rwlockattr_destroy, pthread_rwlockattr_getpshared, pthread_rwlockattr_init, pthread_rwlockattr_setpshared, pthread_self, pthread_setcancelstate, pthread_setcanceltype, pthread_setconcurrency, pthread_setschedparam, pthread_setspecific, pthread_spin_destroy, pthread_spin_init, pthread_spin_lock, pthread_spin_trylock, pthread_spin_unlock, pthread_testcancel, pthread_timechange_handler_np, pthread_win32_process_attach_np, pthread_win32_process_detach_np, pthread_win32_test_features_np, pthread_win32_thread_attach_np, pthread_win32_thread_detach_np, ptw32_get_exception_services_code, ptw32_pop_cleanup, ptw32_push_cleanup, sched_get_priority_max, sched_get_priority_min, sched_getscheduler, sched_setscheduler, sched_yield, sem_close, sem_destroy, sem_getvalue, sem_init, sem_open, sem_post, sem_post_multiple, sem_timedwait, sem_trywait, sem_unlink, sem_wait

**********************************************************
Datei unzip32.dll empfangen 2008.08.21 11:10:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.21 -
AntiVir 7.8.1.23 2008.08.21 -
Authentium 5.1.0.4 2008.08.21 -
Avast 4.8.1195.0 2008.08.20 -
AVG 8.0.0.161 2008.08.21 -
BitDefender 7.2 2008.08.21 -
CAT-QuickHeal 9.50 2008.08.20 -
ClamAV 0.93.1 2008.08.21 -
DrWeb 4.44.0.09170 2008.08.21 -
eSafe 7.0.17.0 2008.08.20 -
eTrust-Vet 31.6.6039 2008.08.21 -
Ewido 4.0 2008.08.20 -
F-Prot 4.4.4.56 2008.08.20 -
F-Secure 7.60.13501.0 2008.08.21 -
Fortinet 3.14.0.0 2008.08.21 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.21 -
K7AntiVirus 7.10.422 2008.08.20 -
Kaspersky 7.0.0.125 2008.08.21 -
McAfee 5365 2008.08.20 -
Microsoft 1.3807 2008.08.21 -
NOD32v2 3373 2008.08.21 -
Norman 5.80.02 2008.08.20 -
Panda 9.0.0.4 2008.08.21 -
PCTools 4.4.2.0 2008.08.20 -
Prevx1 V2 2008.08.21 -
Rising 20.58.32.00 2008.08.21 -
Sophos 4.32.0 2008.08.21 -
Sunbelt 3.1.1564.1 2008.08.20 -
Symantec 10 2008.08.21 -
TheHacker 6.3.0.6.056 2008.08.21 -
TrendMicro 8.700.0.1004 2008.08.21 -
VBA32 3.12.8.3 2008.08.20 -
ViRobot 2008.8.20.1342 2008.08.20 -
VirusBuster 4.5.11.0 2008.08.20 -
Webwasher-Gateway 6.6.2 2008.08.21 -
weitere Informationen
File size: 102400 bytes
MD5...: da235a5119731706f2a72d1951b35169
SHA1..: 789edce8790490f64750e857e8201fa5abc0fdbe
SHA256: 69b91f077d49fc17f94bb840f7dc7e65d72093f9259b3cbed13d19a1f569fcbd
SHA512: ba7008edca6789077546394574ff075ca299ad0c4aa259618bf6f4a45b145a82
4c42897ec1aabdc7ffa079c6e25ccbba6a59ba718c136a8fb5b047d0feda6d86
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10011abb
timedatestamp.....: 0x422392a8 (Mon Feb 28 21:52:40 2005)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10c20 0x11000 6.44 3d9891d9f83b409e874502ed7240ba9b
.rdata 0x12000 0x3f05 0x4000 5.29 b560fe489486e5666c08b8d00cab99f7
.data 0x16000 0xeb0 0x1000 3.36 f8da485c7deb754997cd129dcb20a1c5
.rsrc 0x17000 0x350 0x1000 0.89 64694fb6ca171e0a8a06600f88ff8063
.reloc 0x18000 0xbb4 0x1000 5.22 bb87a2dda4a18ed0544adad49e2e0f7d

( 4 imports )
> MSVCRT.dll: free, _adjust_fdiv, __lconv_init, _initterm, longjmp, toupper, setlocale, fclose, _get_osfhandle, gmtime, _mbsrchr, strncpy, _isctype, _pctype, tolower, time, localtime, mktime, putc, fflush, fopen, _errno, strerror, mblen, __mb_cur_max, _mbschr, _mbsinc, _iob, fgets, strncmp, sprintf, qsort, _setjmp3, realloc, malloc, _chmod, _isatty, _mkdir, _read, _lseek, _setmode, _fileno, _open, _unlink, _stat, _write, _tzset, _putenv, _close, _strnicmp, _strupr
> KERNEL32.dll: GetLocaleInfoA, EnterCriticalSection, SystemTimeToFileTime, GetLocalTime, GlobalUnlock, GlobalFree, GlobalAlloc, GlobalLock, lstrcpyA, GetCurrentProcess, GetProcessHeap, HeapAlloc, HeapFree, CreateMutexA, InterlockedExchange, WaitForSingleObject, ReleaseMutex, InitializeCriticalSection, LeaveCriticalSection, lstrlenA, lstrcpynA, FileTimeToLocalFileTime, lstrcmpiA, GetVersion, SetEndOfFile, SetFilePointer, CloseHandle, SetFileTime, GetLastError, SetFileAttributesA, CreateFileA, LocalFileTimeToFileTime, DosDateTimeToFileTime, FindClose, SetVolumeLabelA, GetVolumeInformationA, GetFullPathNameA, FindFirstFileA, FindNextFileA, GetFileTime, GetDriveTypeA, GetFileAttributesA, FileTimeToSystemTime
> ADVAPI32.dll: SetKernelObjectSecurity, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetSecurityDescriptorControl, GetKernelObjectSecurity, GetSecurityDescriptorGroup, IsValidSecurityDescriptor, GetSecurityDescriptorDacl, IsValidAcl, GetSecurityDescriptorSacl, GetSecurityDescriptorOwner, IsValidSid
> USER32.dll: CharToOemA, OemToCharA

( 11 exports )
UzpFreeMemBuffer, UzpVersion, UzpVersion2, Wiz_Grep, Wiz_Init, Wiz_NoPrinting, Wiz_SetOpts, Wiz_SingleEntryUnzip, Wiz_Unzip, Wiz_UnzipToMemory, Wiz_Validate

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=da235a5119731706f2a72d1951b35169


*********************************************************

Datei htmlayout.dll empfangen 2008.08.21 11:13:06 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 3/36 (8.34%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.21 -
AntiVir 7.8.1.23 2008.08.21 -
Authentium 5.1.0.4 2008.08.21 W32/OnlineGames.A.gen!Eldorado
Avast 4.8.1195.0 2008.08.20 -
AVG 8.0.0.161 2008.08.21 -
BitDefender 7.2 2008.08.21 -
CAT-QuickHeal 9.50 2008.08.20 -
ClamAV 0.93.1 2008.08.21 -
DrWeb 4.44.0.09170 2008.08.21 -
eSafe 7.0.17.0 2008.08.20 Suspicious File
eTrust-Vet 31.6.6039 2008.08.21 -
Ewido 4.0 2008.08.20 -
F-Prot 4.4.4.56 2008.08.20 W32/OnlineGames.A.gen!Eldorado
F-Secure 7.60.13501.0 2008.08.21 -
Fortinet 3.14.0.0 2008.08.21 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.21 -
K7AntiVirus 7.10.422 2008.08.20 -
Kaspersky 7.0.0.125 2008.08.21 -
McAfee 5365 2008.08.20 -
Microsoft 1.3807 2008.08.21 -
NOD32v2 3373 2008.08.21 -
Norman 5.80.02 2008.08.20 -
Panda 9.0.0.4 2008.08.21 -
PCTools 4.4.2.0 2008.08.20 -
Prevx1 V2 2008.08.21 -
Rising 20.58.32.00 2008.08.21 -
Sophos 4.32.0 2008.08.21 -
Sunbelt 3.1.1564.1 2008.08.20 -
Symantec 10 2008.08.21 -
TheHacker 6.3.0.6.056 2008.08.21 -
TrendMicro 8.700.0.1004 2008.08.21 -
VBA32 3.12.8.3 2008.08.20 -
ViRobot 2008.8.20.1342 2008.08.20 -
VirusBuster 4.5.11.0 2008.08.20 -
Webwasher-Gateway 6.6.2 2008.08.21 -
weitere Informationen
File size: 598528 bytes
MD5...: 818ee10d4350f8c2ad9e5ec223aa7c0c
SHA1..: c74ebed86031e403b1db7ad099b3844aa1b56da6
SHA256: 135d79afc1fe619c621ea28baa0c04e2495f46ab6c2762e26cec5db0d670c227
SHA512: 407e4d4ec69db86d747c81d5a8ace02beafbc8b7534efd69486b644aeb78e242
4d789f0c38f5432c224ef8ac19aef79a3e5af0a604e8904a8a5ed7bb0e29a638
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x101706a0
timedatestamp.....: 0x4775babb (Sat Dec 29 03:10:51 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe0000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xe1000 0x90000 0x8fa00 7.93 0da16e4fce0fb01d6e066c8296354c35
.rsrc 0x171000 0x3000 0x2400 4.82 2e092aa4896573564e28a07356570156

( 10 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> ADVAPI32.dll: IsTextUnicode
> GDI32.dll: BitBlt
> MSIMG32.dll: AlphaBlend
> ole32.dll: CoInitialize
> OLEACC.dll: LresultFromObject
> OLEAUT32.dll: -
> USER32.dll: GetDC
> WININET.dll: InternetOpenA
> WINMM.dll: timeGetTime

( 144 exports )
HTMLayoutAppendMasterCSS, HTMLayoutAttachEventHandler, HTMLayoutAttachEventHandlerEx, HTMLayoutCallBehaviorMethod, HTMLayoutClassNameA, HTMLayoutClassNameW, HTMLayoutClearAttributes, HTMLayoutClipboardCopy, HTMLayoutCloneElement, HTMLayoutCombineURL, HTMLayoutControlGetType, HTMLayoutControlGetValue, HTMLayoutControlSetValue, HTMLayoutCreateElement, HTMLayoutDataReady, HTMLayoutDataReadyAsync, HTMLayoutDeclareElementType, HTMLayoutDeleteElement, HTMLayoutDetachElement, HTMLayoutDetachEventHandler, HTMLayoutDialog, HTMLayoutElementGetExpando, HTMLayoutElementSetExpando, HTMLayoutEnumElementStyles, HTMLayoutEnumResources, HTMLayoutEnumerate, HTMLayoutFindElement, HTMLayoutGetAttributeByName, HTMLayoutGetAttributeCount, HTMLayoutGetCharacterRect, HTMLayoutGetChildrenCount, HTMLayoutGetElementByUID, HTMLayoutGetElementHtml, HTMLayoutGetElementHwnd, HTMLayoutGetElementIndex, HTMLayoutGetElementInnerText, HTMLayoutGetElementInnerText16, HTMLayoutGetElementLocation, HTMLayoutGetElementState, HTMLayoutGetElementText, HTMLayoutGetElementType, HTMLayoutGetElementUID, HTMLayoutGetFocusElement, HTMLayoutGetMinHeight, HTMLayoutGetMinWidth, HTMLayoutGetNthAttribute, HTMLayoutGetNthChild, HTMLayoutGetParentElement, HTMLayoutGetRootElement, HTMLayoutGetScrollInfo, HTMLayoutGetSelectedHTML, HTMLayoutGetStyleAttribute, HTMLayoutHidePopup, HTMLayoutHttpRequest, HTMLayoutInit, HTMLayoutInsertElement, HTMLayoutIsElementEnabled, HTMLayoutIsElementVisible, HTMLayoutLoadFile, HTMLayoutLoadHtml, HTMLayoutLoadHtmlEx, HTMLayoutPostEvent, HTMLayoutProc, HTMLayoutProcND, HTMLayoutRangeAdvancePos, HTMLayoutRangeCreate, HTMLayoutRangeFromPositions, HTMLayoutRangeFromSelection, HTMLayoutRangeInsertHtml, HTMLayoutRangeIsEmpty, HTMLayoutRangeRelease, HTMLayoutRangeReplace, HTMLayoutRangeToHtml, HTMLayoutRender, HTMLayoutRequestElementData, HTMLayoutScrollToView, HTMLayoutSelectElements, HTMLayoutSelectParent, HTMLayoutSelectionExist, HTMLayoutSendEvent, HTMLayoutSetAttributeByName, HTMLayoutSetCSS, HTMLayoutSetCallback, HTMLayoutSetCapture, HTMLayoutSetElementHtml, HTMLayoutSetElementInnerText, HTMLayoutSetElementInnerText16, HTMLayoutSetElementState, HTMLayoutSetHttpHeaders, HTMLayoutSetMasterCSS, HTMLayoutSetMediaType, HTMLayoutSetMode, HTMLayoutSetOption, HTMLayoutSetScrollPos, HTMLayoutSetStyleAttribute, HTMLayoutSetTimer, HTMLayoutSetupDebugOutput, HTMLayoutShowPopup, HTMLayoutShowPopupAt, HTMLayoutSortElements, HTMLayoutSwapElements, HTMLayoutTraverseUIEvent, HTMLayoutUpdateElement, HTMLayoutUpdateElementEx, HTMLayoutVisitElements, HTMLayoutWindowAttachEventHandler, HTMLayoutWindowDetachEventHandler, HTMLayout_UnuseElement, HTMLayout_UseElement, HTMLiteAdvanceFocus, HTMLiteCreateInstance, HTMLiteDestroyInstance, HTMLiteFindElement, HTMLiteGetDocumentMinHeight, HTMLiteGetDocumentMinWidth, HTMLiteGetRootElement, HTMLiteGetTag, HTMLiteLoadHtmlFromFile, HTMLiteLoadHtmlFromMemory, HTMLiteMeasure, HTMLiteRender, HTMLiteRenderOnBitmap, HTMLiteSetCallback, HTMLiteSetDataReady, HTMLiteSetDataReadyAsync, HTMLiteSetMediaType, HTMLiteSetTag, HTMLiteTraverseUIEvent, HTMPrintCreateInstance, HTMPrintDestroyInstance, HTMPrintGetDocumentHeight, HTMPrintGetDocumentMinWidth, HTMPrintGetRootElement, HTMPrintGetTag, HTMPrintLoadHtmlFromFile, HTMPrintLoadHtmlFromMemory, HTMPrintMeasure, HTMPrintRender, HTMPrintSetDataReady, HTMPrintSetHyperlinkAreaCallback, HTMPrintSetLoadDataCallback, HTMPrintSetMediaType, HTMPrintSetNextPageCallback, HTMPrintSetTag

packers (Kaspersky): PE_Patch.UPX, UPX

*********************************************************


LISTEN.BAT :


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\Adriana\Microsoft.VC80.CRT

12.08.2008 16:18 <DIR> .
12.08.2008 16:18 <DIR> ..
26.12.2007 22:04 522 Microsoft.VC80.CRT.manifest
26.12.2007 22:04 479.232 msvcm80.dll
26.12.2007 22:04 548.864 msvcp80.dll
26.12.2007 22:04 626.688 msvcr80.dll
4 Datei(en) 1.655.306 Bytes
2 Verzeichnis(se), 68.852.576.256 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Desktop

20.08.2008 22:52 <DIR> .
20.08.2008 22:52 <DIR> ..
15.07.2008 07:58 1.709 Adobe Reader 8.lnk
15.08.2008 20:32 1.815 AntiVir PE Classic.lnk
20.08.2008 22:52 676 Malwarebytes' Anti-Malware.lnk
07.08.2008 14:28 994 WEB.DE Club SmartFax.lnk
4 Datei(en) 5.194 Bytes
2 Verzeichnis(se), 68.852.572.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\Adriana\Desktop

21.08.2008 11:17 <DIR> .
21.08.2008 11:17 <DIR> ..
10.07.2008 09:16 354.304 071002Trainingsplan.doc
21.08.2008 00:40 731.136 avenger.exe
20.08.2008 21:34 2.719.971 ComboFix.exe
10.07.2008 09:52 <DIR> ebay
21.08.2008 01:56 189.750 FindAWF.exe
03.07.2008 16:19 124.928 Haushalt.doc
20.08.2008 22:04 1.718 HijackThis.lnk
20.08.2008 22:03 <DIR> HJT
12.06.2008 11:17 <DIR> H„hne
07.08.2008 14:19 505.198 ILZ 001.tif
07.08.2008 14:18 367.686 ILZ.tif
27.12.2007 00:19 795 Internet Explorer Browser starten.lnk
04.08.2008 15:14 26.112 Lebenslauf.doc
06.06.2008 23:49 1.158.388 Lilly2.JPG
21.08.2008 11:17 1.072 listen.bat
27.06.2008 14:21 11.274 Merlin.JPG
18.04.2008 05:44 2.523 Microsoft Excel.lnk
18.04.2008 05:44 2.531 Microsoft PowerPoint.lnk
21.08.2008 00:22 2.495 Microsoft Word.lnk
26.12.2007 23:47 718 Outlook Express.lnk
28.07.2007 12:16 1.526.190 P7280056.JPG
18.01.2008 01:54 727.070 Portrait 6.jpg
24.06.2008 11:15 11.396 Portrait_.jpg
21.08.2008 01:54 <DIR> regsearch
21.08.2008 01:23 340.591 regsearch.zip
18.04.2008 05:18 31.232 Reisen nach Arizona.doc
10.07.2008 09:35 <DIR> Reitsachen
26.06.2008 13:44 1.163.722 satteldecken.JPG
31.05.2008 19:41 1.671.151 Scout 3.JPG
21.08.2008 01:06 1.463.521 SDFix.exe
21.08.2008 02:02 <DIR> SmitfraudFix
21.08.2008 01:59 1.420.066 SmitfraudFix.zip
27.12.2007 00:33 104 Verkn�pfung mit Arbeitsplatz.lnk
27.12.2007 00:32 841 Windows Messenger.lnk
28 Datei(en) 14.556.483 Bytes
8 Verzeichnis(se), 68.852.572.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\WINDOWS\Downloaded Program Files

14.10.1997 19:52 697 DirectAnimation Java Classes.osd
24.03.2008 19:33 1.527.056 FP_AX_CAB_INSTALLER.exe
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
30.07.2007 20:24 295 muweb.inf
24.03.2008 19:18 247 swflash.inf
30.07.2007 20:24 293 wuweb.inf
6 Datei(en) 1.529.750 Bytes
0 Verzeichnis(se), 68.852.572.160 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Programme

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\Adriana

21.08.2008 02:00 <DIR> .
21.08.2008 02:00 <DIR> ..
21.08.2008 02:09 <DIR> Application Data
12.08.2008 16:18 <DIR> data
21.08.2008 11:17 <DIR> Desktop
12.08.2008 16:28 <DIR> Eigene Dateien
21.06.2008 15:12 <DIR> Favoriten
28.12.2007 20:10 598.528 htmlayout.dll
12.08.2008 16:18 <DIR> Microsoft.VC80.CRT
22.12.2006 02:07 86.070 pthreadVC2.dll
26.12.2007 19:00 <DIR> Startmen�
12.08.2008 16:18 1.150 un.ico
12.08.2008 16:18 102.400 unzip32.dll
26.12.2007 19:57 <DIR> WINDOWS
12.08.2008 01:58 195.986 wscui.cpl
15.08.2008 20:28 2.934 XP_SecurityCenter.cfg
6 Datei(en) 987.068 Bytes
10 Verzeichnis(se), 68.852.568.064 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Program Files

20.08.2008 22:04 <DIR> .
20.08.2008 22:04 <DIR> ..
20.08.2008 22:04 <DIR> Trend Micro
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 68.852.568.064 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Temp

21.08.2008 10:02 <DIR> .
21.08.2008 10:02 <DIR> ..
21.08.2008 01:57 <DIR> FindAWF
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 68.852.568.064 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\WINDOWS\Temp

21.08.2008 09:57 <DIR> .
21.08.2008 09:57 <DIR> ..
21.08.2008 09:57 255 WGAErrLog.txt
21.08.2008 09:57 409 WGANotify.settings
2 Datei(en) 664 Bytes
2 Verzeichnis(se), 68.852.568.064 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Programme

21.08.2008 01:51 <DIR> .
21.08.2008 01:51 <DIR> ..
15.08.2008 21:30 <DIR> Adobe
15.08.2008 20:32 <DIR> Avira
26.12.2007 19:14 <DIR> ComPlus Applications
21.08.2008 00:50 <DIR> Gemeinsame Dateien
03.01.2008 22:34 <DIR> HP
26.12.2007 21:38 <DIR> IBM RecordNow
21.06.2008 14:59 <DIR> IEEE 802.11b WLAN Utility(USB)
26.12.2007 21:27 <DIR> Intel
15.08.2008 21:21 <DIR> Internet Explorer
26.12.2007 21:39 <DIR> InterVideo
26.01.2008 14:00 <DIR> Kodak
26.01.2008 14:00 <DIR> Kodak EasyShare software
26.12.2007 21:57 <DIR> Lenovo
20.08.2008 22:52 <DIR> Malwarebytes' Anti-Malware
21.08.2008 00:08 <DIR> Messenger
27.12.2007 01:14 <DIR> Microsoft CAPICOM 2.1.0.2
26.12.2007 19:18 <DIR> microsoft frontpage
27.12.2007 00:24 <DIR> Microsoft Office
27.12.2007 00:24 <DIR> Microsoft Visual Studio
21.08.2008 00:02 <DIR> Movie Maker
26.12.2007 19:14 <DIR> MSN
26.12.2007 19:14 <DIR> MSN Gaming Zone
05.01.2008 11:10 <DIR> MSXML 4.0
20.08.2008 23:58 <DIR> NetMeeting
26.12.2007 19:14 <DIR> Online Services
26.12.2007 19:42 <DIR> Online-Dienste
20.08.2008 23:58 <DIR> Outlook Express
26.12.2007 22:08 <DIR> Synaptics
26.12.2007 21:50 <DIR> ThinkPad
26.12.2007 21:38 <DIR> VERITAS Software
07.08.2008 14:28 <DIR> WEB.DE
21.08.2008 00:03 <DIR> Windows Media Player
20.08.2008 23:58 <DIR> Windows NT
27.06.2008 14:12 <DIR> Wireless Network Utility
26.12.2007 19:18 <DIR> xerox
0 Datei(en) 0 Bytes
37 Verzeichnis(se), 68.852.563.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Anwendungsdaten

20.08.2008 19:22 <DIR> Adobe
18.08.2008 20:10 94.720 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
12.08.2008 16:18 11.373 ehatap.db
12.06.2008 11:20 20.336 GDIPFONTCACHEV1.DAT
30.12.2007 19:50 <DIR> Identities
21.08.2008 01:00 <DIR> Microsoft
12.08.2008 16:18 11.441 tiqovavyl.sys
4 Datei(en) 137.870 Bytes
3 Verzeichnis(se), 68.852.563.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten

06.02.2008 23:01 <DIR> Adobe
04.08.2008 16:10 20.336 GDIPFONTCACHEV1.DAT
26.12.2007 19:23 <DIR> Identities
27.06.2008 14:12 <DIR> InstallShield
19.07.2008 11:42 <DIR> InterVideo
31.12.2007 10:11 <DIR> Macromedia
20.08.2008 22:52 <DIR> Malwarebytes
12.08.2008 16:18 16.065 tezo.lib
30.12.2007 19:42 <DIR> VERITAS
07.08.2008 14:29 <DIR> WEB.DE
12.08.2008 16:18 16.293 ysusenyfas.lib
3 Datei(en) 52.694 Bytes
8 Verzeichnis(se), 68.852.563.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

26.12.2007 20:57 305 addr_file.html
15.07.2008 07:58 <DIR> Adobe
15.08.2008 20:32 <DIR> Avira
15.08.2008 22:12 <DIR> Hewlett-Packard
15.08.2008 22:13 648 hpzinstall.log
26.01.2008 13:57 <DIR> Kodak
20.08.2008 22:52 <DIR> Malwarebytes
15.08.2008 20:07 12.739 vefezujup.ban
07.08.2008 14:28 <DIR> WEB.DE
26.12.2007 22:03 <DIR> Windows Genuine Advantage
3 Datei(en) 13.692 Bytes
7 Verzeichnis(se), 68.852.563.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Programme\Gemeinsame Dateien

21.08.2008 00:50 <DIR> .
21.08.2008 00:50 <DIR> ..
15.07.2008 07:58 <DIR> Adobe
27.12.2007 00:24 <DIR> Designer
26.12.2007 19:15 <DIR> Dienste
03.01.2008 22:33 <DIR> Hewlett-Packard
26.12.2007 19:56 <DIR> InstallShield
27.12.2007 01:45 <DIR> Microsoft Shared
26.12.2007 19:15 <DIR> MSSoap
26.12.2007 19:00 <DIR> ODBC
26.12.2007 19:00 <DIR> SpeechEngines
20.08.2008 23:58 <DIR> System
0 Datei(en) 0 Bytes
12 Verzeichnis(se), 68.852.563.968 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6C69-5B95

Verzeichnis von C:\Windows\tasks

*******************************************************

#21 ««

http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

tiqovavyl

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

das gleiche mit:

XP_SecurityCenter

-------------------------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Adriana\XP_SecurityCenter.cfg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vefezujup.ban
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tezo.lib
C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Anwendungsdaten\tiqovavyl.sys
C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Anwendungsdaten\ehatap.db

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

««
http://virus-protect.org/artikel/tools/systemscan.html
wende systemscan an + hake nur an:

Showing files newer than 60 days
UNINSTALL LIST
HIJACKTHIS LOG
SUSPICIOUS FILES

poste den report


-----------

ist für mich...
http://virus-protect.org/artikel/spyware/xpsecuritycenter-remove.html
__________
MfG Sabina

rund um die PC-Sicherheit

#22 OK - geht Los!

*******************************************************

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 21.08.2008 16:19:46 for strings:
; 'tiqovavyl'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

****************************************************

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 21.08.2008 16:21:41 for strings:
; 'xp_securitycenter'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


*****************************************************

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Adriana\XP_SecurityCenter.cfg" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vefezujup.ban" deleted successfully.

Error: file "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tezo.lib" not found!
Deletion of file "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tezo.lib" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Anwendungsdaten\tiqovavyl.sys" deleted successfully.
File "C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Anwendungsdaten\ehatap.db" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


*********************************************************

SystemScan - www.suspectfile.com - ver. 3.5.5 (code: holifay & bReAkdOWn)

Running on: Windows XP PROFESSIONAL Edition, Service Pack 3 (2600.5.1)
System directory: C:\WINDOWS
SystemScan file: C:\Dokumente und Einstellungen\Adriana\Desktop\sys71632.exe
Running in: User mode
Date: 21.08.2008
Time: 16:49:50

Output limited to:
-Recent files
-Hidden objects
-Suspicious Files
-Installed Applications
-Include HIJACKTHIS.log

===================== RECENT FILES =====================

Showing files newer than 60 days

----- recent files in C:\
20.08.2008 18:12:31 (DIR) 0 byte 1 days old -- Dokumente und Einstellungen
20.08.2008 22:04:30 (DIR) 0 byte 1 days old -- Program Files
20.08.2008 23:06:08 (DIR) 0 byte 1 days old -- System Volume Information
20.08.2008 23:54:48 251712 byte 1 days old -- ntldr
21.08.2008 00:52:35 (DIR) 0 byte 0 days old -- QooBox
21.08.2008 00:52:35 11070 byte 0 days old -- ComboFix.txt
21.08.2008 00:52:38 (DIR) 0 byte 0 days old -- ComboFix
21.08.2008 01:20:38 (DIR) 0 byte 0 days old -- SDFix
21.08.2008 01:51:52 (DIR) 0 byte 0 days old -- Programme
21.08.2008 02:11:56 (DIR) 0 byte 0 days old -- RECYCLER
21.08.2008 02:12:20 2180 byte 0 days old -- rapport.txt
21.08.2008 02:13:02 2180 byte 0 days old -- rapport_option2.txt
21.08.2008 11:18:08 11688 byte 0 days old -- files.txt
21.08.2008 16:25:36 2292 byte 0 days old -- avenger.txt
21.08.2008 16:25:52 1610612736 byte 0 days old -- pagefile.sys
21.08.2008 16:26:01 (DIR) 0 byte 0 days old -- Avenger
21.08.2008 16:26:09 (DIR) 0 byte 0 days old -- WINDOWS

----- recent files in C:\WINDOWS\
10.07.2008 09:11:55 (DIR) 0 byte 42 days old -- $NtUninstallKB951748_0$
16.07.2008 07:15:17 (DIR) 0 byte 36 days old -- SxsCaPendDel
15.08.2008 20:13:35 (DIR) 0 byte 6 days old -- $NtUninstallKB951066_0$
15.08.2008 21:21:55 (DIR) 0 byte 6 days old -- $NtUninstallKB952287_0$
15.08.2008 21:22:15 (DIR) 0 byte 6 days old -- $NtUninstallKB951072-v2$
15.08.2008 21:23:56 (DIR) 0 byte 6 days old -- $NtUninstallKB950974_0$
15.08.2008 21:24:46 (DIR) 0 byte 6 days old -- $NtUninstallKB953839$
15.08.2008 21:24:53 (DIR) 0 byte 6 days old -- $NtUninstallKB946648_0$
15.08.2008 21:25:00 (DIR) 0 byte 6 days old -- $NtUninstallKB952954_0$
15.08.2008 22:12:58 3648 byte 6 days old -- hpbvnstp.his
15.08.2008 22:12:58 1100 byte 6 days old -- hpbvnstp.ini
15.08.2008 22:13:12 659 byte 6 days old -- hpbvspst.his
15.08.2008 22:13:13 318 byte 6 days old -- hpbvspst.ini
20.08.2008 22:19:01 (DIR) 0 byte 1 days old -- Downloaded Program Files
20.08.2008 23:16:26 0 byte 1 days old -- setuperr.log
20.08.2008 23:16:50 6290 byte 1 days old -- KB892130.log
20.08.2008 23:53:19 (DIR) 0 byte 1 days old -- $NtServicePackUninstall$
20.08.2008 23:57:35 (DIR) 0 byte 1 days old -- system
20.08.2008 23:58:22 (DIR) 0 byte 1 days old -- srchasst
20.08.2008 23:58:24 (DIR) 0 byte 1 days old -- msagent
21.08.2008 00:02:54 (DIR) 0 byte 0 days old -- peernet
21.08.2008 00:02:55 (DIR) 0 byte 0 days old -- Installer
21.08.2008 00:02:55 (DIR) 0 byte 0 days old -- l2schemas
21.08.2008 00:03:17 (DIR) 0 byte 0 days old -- network diagnostic
21.08.2008 00:03:17 (DIR) 0 byte 0 days old -- ime
21.08.2008 00:03:20 (DIR) 0 byte 0 days old -- EHome
21.08.2008 00:03:39 (DIR) 0 byte 0 days old -- Help
21.08.2008 00:03:42 (DIR) 0 byte 0 days old -- ServicePackFiles
21.08.2008 00:03:51 (DIR) 0 byte 0 days old -- WinSxS
21.08.2008 00:04:18 311 byte 0 days old -- sessmgr.setup.log
21.08.2008 00:04:37 173 byte 0 days old -- cmsetacl.log
21.08.2008 00:06:42 62243 byte 0 days old -- setupapi.log
21.08.2008 00:08:21 (DIR) 0 byte 0 days old -- security
21.08.2008 00:08:45 (DIR) 0 byte 0 days old -- $NtUninstallKB946648$
21.08.2008 00:08:48 193516 byte 0 days old -- KB946648.log
21.08.2008 00:08:55 (DIR) 0 byte 0 days old -- $NtUninstallKB950762$
21.08.2008 00:08:57 192298 byte 0 days old -- KB950762.log
21.08.2008 00:09:02 (DIR) 0 byte 0 days old -- $NtUninstallKB950974$
21.08.2008 00:09:05 192515 byte 0 days old -- KB950974.log
21.08.2008 00:09:10 (DIR) 0 byte 0 days old -- $NtUninstallKB951066$
21.08.2008 00:09:13 191632 byte 0 days old -- KB951066.log
21.08.2008 00:09:15 1125 byte 0 days old -- KB951072-v2.log
21.08.2008 00:09:20 (DIR) 0 byte 0 days old -- $NtUninstallKB951376$
21.08.2008 00:09:23 192034 byte 0 days old -- KB951376.log
21.08.2008 00:09:28 (DIR) 0 byte 0 days old -- $NtUninstallKB951376-v2$
21.08.2008 00:09:30 192061 byte 0 days old -- KB951376-v2.log
21.08.2008 00:09:36 (DIR) 0 byte 0 days old -- $NtUninstallKB951698$
21.08.2008 00:09:39 191629 byte 0 days old -- KB951698.log
21.08.2008 00:09:44 (DIR) 0 byte 0 days old -- $NtUninstallKB951748$
21.08.2008 00:09:48 193904 byte 0 days old -- KB951748.log
21.08.2008 00:09:53 (DIR) 0 byte 0 days old -- $NtUninstallKB952287$
21.08.2008 00:09:56 191663 byte 0 days old -- KB952287.log
21.08.2008 00:10:01 (DIR) 0 byte 0 days old -- $NtUninstallKB952954$
21.08.2008 00:10:04 192535 byte 0 days old -- KB952954.log
21.08.2008 00:10:07 2675 byte 0 days old -- imsins.BAK
21.08.2008 00:10:07 508803 byte 0 days old -- svcpack.log
21.08.2008 00:11:40 (DIR) 0 byte 0 days old -- Fonts
21.08.2008 00:12:33 187 byte 0 days old -- spupdsvc.log.1.log
21.08.2008 00:12:36 9626 byte 0 days old -- setuplog.txt
21.08.2008 00:14:02 226 byte 0 days old -- DtcInstall.log
21.08.2008 00:14:04 (DIR) 0 byte 0 days old -- Debug
21.08.2008 00:14:39 345 byte 0 days old -- OEWABLog.txt
21.08.2008 00:15:41 316640 byte 0 days old -- WMSysPr9.prx
21.08.2008 00:16:02 1270 byte 0 days old -- wmsetup.log
21.08.2008 00:16:02 69979 byte 0 days old -- spupdsvc.log
21.08.2008 00:38:43 (DIR) 0 byte 0 days old -- $hf_mig$
21.08.2008 00:40:00 (DIR) 0 byte 0 days old -- $NtUninstallKB951978$
21.08.2008 00:40:03 107365 byte 0 days old -- updspapi.log
21.08.2008 00:40:09 23908 byte 0 days old -- msmqinst.log
21.08.2008 00:40:12 80388 byte 0 days old -- FaxSetup.log
21.08.2008 00:40:13 6723 byte 0 days old -- MedCtrOC.log
21.08.2008 00:40:13 5595 byte 0 days old -- comsetup.log
21.08.2008 00:40:13 14053 byte 0 days old -- KB951978.log
21.08.2008 00:40:13 1374 byte 0 days old -- imsins.log
21.08.2008 00:40:13 (DIR) 0 byte 0 days old -- inf
21.08.2008 00:40:13 78276 byte 0 days old -- iis6.log
21.08.2008 00:40:13 3134 byte 0 days old -- ntdtcsetup.log
21.08.2008 00:40:13 35731 byte 0 days old -- tsoc.log
21.08.2008 00:40:13 845 byte 0 days old -- ocmsn.log
21.08.2008 00:40:13 38337 byte 0 days old -- ocgen.log
21.08.2008 00:40:13 13753 byte 0 days old -- netfxocm.log
21.08.2008 00:40:13 3861 byte 0 days old -- msgsocm.log
21.08.2008 00:40:13 4199 byte 0 days old -- tabletoc.log
21.08.2008 00:48:55 (DIR) 0 byte 0 days old -- erdnt
21.08.2008 00:50:44 (DIR) 0 byte 0 days old -- AppPatch
21.08.2008 00:51:25 227 byte 0 days old -- system.ini
21.08.2008 01:10:58 (DIR) 0 byte 0 days old -- ERUNT
21.08.2008 01:49:52 (DIR) 0 byte 0 days old -- PIF
21.08.2008 02:09:00 272354 byte 0 days old -- ntbtlog.txt
21.08.2008 02:11:15 60 byte 0 days old -- setupact.log
21.08.2008 02:14:30 (DIR) 0 byte 0 days old -- system32
21.08.2008 16:24:57 32630 byte 0 days old -- SchedLgU.Txt
21.08.2008 16:25:56 2048 byte 0 days old -- bootstat.dat
21.08.2008 16:25:58 0 byte 0 days old -- 0.log
21.08.2008 16:26:01 50 byte 0 days old -- wiaservc.log
21.08.2008 16:26:05 159 byte 0 days old -- wiadebug.log
21.08.2008 16:26:09 (DIR) 0 byte 0 days old -- temp
21.08.2008 16:26:16 387 byte 0 days old -- RTacDbg.txt
21.08.2008 16:26:46 1270492 byte 0 days old -- WindowsUpdate.log
21.08.2008 16:31:12 (DIR) 0 byte 0 days old -- Prefetch

----- recent files in C:\WINDOWS\Downloaded Program Files\

----- recent files in C:\WINDOWS\system\

----- recent files in C:\WINDOWS\system32\
23.06.2008 11:20:01 70656 byte 59 days old -- ie4uinit.exe
23.06.2008 11:20:26 13824 byte 59 days old -- ieudinit.exe
23.06.2008 18:14:39 124928 byte 59 days old -- advpack.dll
23.06.2008 18:14:40 133120 byte 59 days old -- extmgr.dll
23.06.2008 18:14:40 384512 byte 59 days old -- iedkcs32.dll
23.06.2008 18:14:40 214528 byte 59 days old -- dxtrans.dll
23.06.2008 18:14:40 347136 byte 59 days old -- dxtmsft.dll
23.06.2008 18:14:40 230400 byte 59 days old -- ieaksie.dll
23.06.2008 18:14:40 153088 byte 59 days old -- ieakeng.dll
23.06.2008 18:14:40 383488 byte 59 days old -- ieapfltr.dll
23.06.2008 18:14:40 63488 byte 59 days old -- icardie.dll
23.06.2008 18:14:41 44544 byte 59 days old -- iernonce.dll
23.06.2008 18:14:41 6066176 byte 59 days old -- ieframe.dll
23.06.2008 18:14:42 459264 byte 59 days old -- msfeeds.dll
23.06.2008 18:14:42 52224 byte 59 days old -- msfeedsbs.dll
23.06.2008 18:14:42 27648 byte 59 days old -- jsproxy.dll
23.06.2008 18:14:42 267776 byte 59 days old -- iertutil.dll
23.06.2008 18:14:42 1831424 byte 59 days old -- inetcpl.cpl
23.06.2008 18:14:44 193024 byte 59 days old -- msrating.dll
23.06.2008 18:14:44 671232 byte 59 days old -- mstime.dll
23.06.2008 18:14:44 233472 byte 59 days old -- webcheck.dll
23.06.2008 18:14:44 477696 byte 59 days old -- mshtmled.dll
23.06.2008 18:14:44 105984 byte 59 days old -- url.dll
23.06.2008 18:14:44 44544 byte 59 days old -- pngfilt.dll
23.06.2008 18:14:44 102912 byte 59 days old -- occache.dll
23.06.2008 18:14:44 1159680 byte 59 days old -- urlmon.dll
23.06.2008 18:14:45 826368 byte 59 days old -- wininet.dll
24.06.2008 10:14:44 3592192 byte 58 days old -- mshtml.dll
24.06.2008 18:42:48 74240 byte 58 days old -- mscms.dll
27.06.2008 14:12:14 (DIR) 0 byte 55 days old -- Wireless Network Utility
07.07.2008 22:26:58 253952 byte 45 days old -- es.dll
05.08.2008 11:11:02 15888504 byte 16 days old -- MRT.exe
15.08.2008 21:22:13 359410 byte 6 days old -- TZLog.log
15.08.2008 22:12:58 35 byte 6 days old -- services.log
20.08.2008 23:53:37 (DIR) 0 byte 1 days old -- ReinstallBackups
20.08.2008 23:57:38 (DIR) 0 byte 1 days old -- oobe
20.08.2008 23:58:19 (DIR) 0 byte 1 days old -- Com
20.08.2008 23:58:27 (DIR) 0 byte 1 days old -- Restore
20.08.2008 23:58:27 (DIR) 0 byte 1 days old -- npp
21.08.2008 00:02:54 (DIR) 0 byte 0 days old -- bits
21.08.2008 00:02:55 (DIR) 0 byte 0 days old -- de
21.08.2008 00:02:57 (DIR) 0 byte 0 days old -- usmt
21.08.2008 00:02:57 (DIR) 0 byte 0 days old -- de-de
21.08.2008 00:03:18 (DIR) 0 byte 0 days old -- inetsrv
21.08.2008 00:10:31 (DIR) 0 byte 0 days old -- CatRoot
21.08.2008 00:11:41 (DIR) 0 byte 0 days old -- wbem
21.08.2008 00:11:43 (DIR) 0 byte 0 days old -- Setup
21.08.2008 00:11:46 116560 byte 0 days old -- FNTCACHE.DAT
21.08.2008 00:12:30 267 byte 0 days old -- spupdwxp.log
21.08.2008 00:15:46 723744 byte 0 days old -- PerfStringBackup.INI
21.08.2008 00:15:48 317168 byte 0 days old -- perfh007.dat
21.08.2008 00:15:48 40326 byte 0 days old -- perfc009.dat
21.08.2008 00:15:48 48552 byte 0 days old -- perfc007.dat
21.08.2008 00:15:48 311938 byte 0 days old -- perfh009.dat
21.08.2008 00:51:46 (DIR) 0 byte 0 days old -- CatRoot2
21.08.2008 01:12:15 (DIR) 0 byte 0 days old -- dllcache
21.08.2008 02:09:54 0 byte 0 days old -- tmp.txt
21.08.2008 02:09:54 2386 byte 0 days old -- tmp.reg
21.08.2008 16:25:36 (DIR) 0 byte 0 days old -- drivers
21.08.2008 16:26:09 2206 byte 0 days old -- wpa.dbl

----- recent files in C:\WINDOWS\system32\drivers\
27.06.2008 14:12:25 21035 byte 55 days old -- AegisP.sys
27.06.2008 15:03:52 75072 byte 55 days old -- avipbb.sys
17.08.2008 15:01:14 17144 byte 4 days old -- mbam.sys
17.08.2008 15:01:18 38472 byte 4 days old -- mbamswissarmy.sys
21.08.2008 01:13:34 (DIR) 0 byte 0 days old -- etc

----- recent files in C:\WINDOWS\temp\
21.08.2008 16:25:59 255 byte 0 days old -- WGAErrLog.txt
21.08.2008 16:26:11 409 byte 0 days old -- WGANotify.settings

----- recent files in C:\Programme\
27.06.2008 14:12:13 (DIR) 0 byte 55 days old -- InstallShield Installation Information
27.06.2008 14:12:31 (DIR) 0 byte 55 days old -- Wireless Network Utility
07.08.2008 14:28:36 (DIR) 0 byte 14 days old -- WEB.DE
15.08.2008 20:32:41 (DIR) 0 byte 6 days old -- Avira
15.08.2008 21:21:32 (DIR) 0 byte 6 days old -- Internet Explorer
15.08.2008 21:30:36 (DIR) 0 byte 6 days old -- Adobe
20.08.2008 22:52:37 (DIR) 0 byte 1 days old -- Malwarebytes' Anti-Malware
20.08.2008 23:58:13 (DIR) 0 byte 1 days old -- Outlook Express
20.08.2008 23:58:13 (DIR) 0 byte 1 days old -- Windows NT
20.08.2008 23:58:21 (DIR) 0 byte 1 days old -- NetMeeting
21.08.2008 00:02:54 (DIR) 0 byte 0 days old -- Movie Maker
21.08.2008 00:03:41 (DIR) 0 byte 0 days old -- Windows Media Player
21.08.2008 00:08:45 (DIR) 0 byte 0 days old -- Messenger
21.08.2008 00:50:44 (DIR) 0 byte 0 days old -- Gemeinsame Dateien

----- recent files in C:\Programme\Gemeinsame Dateien\
15.07.2008 07:58:44 (DIR) 0 byte 37 days old -- Adobe
20.08.2008 23:58:09 (DIR) 0 byte 1 days old -- System

----- recent files in C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\
27.06.2008 14:12:00 (DIR) 0 byte 55 days old -- InstallShield
19.07.2008 11:42:28 (DIR) 0 byte 33 days old -- InterVideo
04.08.2008 16:10:18 20336 byte 17 days old -- GDIPFONTCACHEV1.DAT
07.08.2008 14:29:02 (DIR) 0 byte 14 days old -- WEB.DE
12.08.2008 16:18:49 16065 byte 9 days old -- tezo.lib
12.08.2008 16:18:49 16293 byte 9 days old -- ysusenyfas.lib
20.08.2008 22:52:38 (DIR) 0 byte 1 days old -- Malwarebytes
21.08.2008 00:59:12 (DIR) 0 byte 0 days old -- Microsoft

----- recent files in C:\DOKUME~1\Adriana\LOKALE~1\Temp\
21.08.2008 01:57:45 (DIR) 0 byte 0 days old -- FindAWF
21.08.2008 16:30:52 59 byte 0 days old -- systemscan.ini
21.08.2008 16:31:02 16384 byte 0 days old -- ~DFFDBF.tmp
21.08.2008 16:31:02 (DIR) 0 byte 0 days old -- nsz5.tmp

===================== HIDDEN OBJECTS =====================


scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


===================== RUSTOCK ROOTKIT DETECTION =====================


#### NOTHING FOUND ####

===================== SUSPICIOUS FILES =====================
EXE and DLL files packed with runtime packers, found in: C:\; C:\WINDOWS\; C:\WINDOWS\system32\

C:\WINDOWS\Nircmd.exe --> is compressed with UPX
C:\WINDOWS\swreg.exe --> is compressed with UPX
C:\WINDOWS\swsc.exe --> is compressed with UPX

===================== UNINSTALL LIST =====================


-----HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall-----

[Uninstall]

[Uninstall\AddressBook]

[Uninstall\Adobe Flash Player ActiveX]
"DisplayName"="Adobe Flash Player ActiveX"
"DisplayIcon"="C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe"
"UninstallString"="C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe"

[Uninstall\Agere Systems Soft Modem]
"DisplayName"="Agere Systems AC'97 Modem"
"UninstallString"="agrsmdel"

[Uninstall\AntiVir PersonalEdition Classic]
"DisplayIcon"="C:\Programme\Avira\AntiVir PersonalEdition Classic\rcimage.dll,1"
"DisplayName"="Avira AntiVir Personal - Free Antivirus"
"UninstallString"="C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE"

[Uninstall\ATI Display Driver]
"DisplayName"="ATI Display Driver"
"UninstallString"="rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean"

[Uninstall\Branding]

[Uninstall\Connection Manager]

[Uninstall\DirectAnimation]

[Uninstall\DirectDrawEx]

[Uninstall\DXM_Runtime]

[Uninstall\Fontcore]

[Uninstall\HijackThis]
"DisplayName"="HijackThis 2.0.2"
"UninstallString"="\"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe\" /uninstall"
"DisplayIcon"="C:\Program Files\Trend Micro\HijackThis\HijackThis.exe"

[Uninstall\ICW]

[Uninstall\IDNMitigationAPIs]
"DisplayName"="Microsoft Internationalized Domain Names Mitigation APIs"
"UninstallString"="\"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe\""

[Uninstall\IE40]

[Uninstall\IE4Data]

[Uninstall\IE5BAKEX]

[Uninstall\ie7]
"DisplayName"="Windows Internet Explorer 7"
"UninstallString"=""
"DisplayIcon"="C:\Programme\Internet Explorer\iexplore.exe"

[Uninstall\IEData]

[Uninstall\KB884016]

[Uninstall\KB892130]
"DisplayName"="Windows Genuine Advantage Validation Tool (KB892130)"
"UninstallString"=""

[Uninstall\KB893803]

[Uninstall\KB911564]
"DisplayName"="Sicherheitsupdate für Windows Media Player (KB911564)"
"DisplayIcon"=expand:"\"%ProgramFiles%\windows media player\wmplayer.exe\""

[Uninstall\KB917734_WMP8]
"DisplayName"="Sicherheitsupdate für Windows Media Player 8 (KB917734)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB917734_WMP8$\spuninst\spuninst.exe\""
"DisplayIcon"=expand:"\"%ProgramFiles%\windows media player\wmplayer.exe\""

[Uninstall\KB923789]
"DisplayName"="Sicherheitsupdate für Windows XP (KB923789)"
"UninstallString"="C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf"

[Uninstall\KB925398_WMP64]
"DisplayName"="Sicherheitsupdate für Windows Media Player 6.4 (KB925398)"
"DisplayIcon"=expand:"\"%ProgramFiles%\windows media player\mplayer2.exe\""

[Uninstall\KB931906]
"DisplayName"="Security Update for CAPICOM (KB931906)"
"UninstallString"="MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}"

[Uninstall\KB936782_WMP9]
"DisplayName"="Sicherheitsupdate für Windows Media Player 9 (KB936782)"
"DisplayIcon"=expand:"\"%ProgramFiles%\windows media player\wmplayer.exe\""

[Uninstall\KB938127-IE7]
"DisplayName"="Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)"
"UninstallString"="\"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe\""
"DisplayIcon"="C:\Programme\internet explorer\iexplore.exe"

[Uninstall\KB941569]
"DisplayName"="Sicherheitsupdate für Windows XP (KB941569)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe\""

[Uninstall\KB942615-IE7]
"DisplayName"="Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)"
"UninstallString"="\"C:\WINDOWS\ie7updates\KB942615-IE7\spuninst\spuninst.exe\""
"DisplayIcon"="C:\Programme\internet explorer\iexplore.exe"

[Uninstall\KB944533-IE7]
"DisplayName"="Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)"
"UninstallString"="\"C:\WINDOWS\ie7updates\KB944533-IE7\spuninst\spuninst.exe\""
"DisplayIcon"="C:\Programme\internet explorer\iexplore.exe"

[Uninstall\KB946648]
"DisplayName"="Sicherheitsupdate für Windows XP (KB946648)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe\""

[Uninstall\KB950759-IE7]
"DisplayName"="Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)"
"UninstallString"="\"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe\""
"DisplayIcon"="C:\Programme\internet explorer\iexplore.exe"

[Uninstall\KB950760]
"DisplayName"="Sicherheitsupdate für Windows XP (KB950760)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe\""

[Uninstall\KB950762]
"DisplayName"="Sicherheitsupdate für Windows XP (KB950762)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe\""

[Uninstall\KB950974]
"DisplayName"="Sicherheitsupdate für Windows XP (KB950974)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe\""

[Uninstall\KB951066]
"DisplayName"="Sicherheitsupdate für Windows XP (KB951066)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe\""

[Uninstall\KB951072-v2]
"DisplayName"="Update für Windows XP (KB951072-v2)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe\""

[Uninstall\KB951376]
"DisplayName"="Sicherheitsupdate für Windows XP (KB951376)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB951376$\spuninst\spuninst.exe\""

[Uninstall\KB951376-v2]
"DisplayName"="Sicherheitsupdate für Windows XP (KB951376-v2)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe\""

[Uninstall\KB951698]
"DisplayName"="Sicherheitsupdate für Windows XP (KB951698)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe\""

[Uninstall\KB951748]
"DisplayName"="Sicherheitsupdate für Windows XP (KB951748)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe\""

[Uninstall\KB951978]
"DisplayName"="Update für Windows XP (KB951978)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe\""

[Uninstall\KB952287]
"DisplayName"="Hotfix für Windows XP (KB952287)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe\""

[Uninstall\KB952954]
"DisplayName"="Sicherheitsupdate für Windows XP (KB952954)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe\""

[Uninstall\KB953838-IE7]
"DisplayName"="Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)"
"UninstallString"="\"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe\""
"DisplayIcon"="C:\Programme\internet explorer\iexplore.exe"

[Uninstall\KB953839]
"DisplayName"="Sicherheitsupdate für Windows XP (KB953839)"
"UninstallString"="\"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe\""

[Uninstall\Malwarebytes' Anti-Malware_is1]
"DisplayName"="Malwarebytes' Anti-Malware"
"DisplayIcon"="C:\Programme\Malwarebytes' Anti-Malware\mbam.exe"
"UninstallString"="\"C:\Programme\Malwarebytes' Anti-Malware\unins000.exe\""

[Uninstall\Microsoft NetShow Player 2.0]

[Uninstall\MobileOptionPack]

[Uninstall\MPlayer2]

[Uninstall\MSI30-Beta1]

[Uninstall\MSI30-Beta2]

[Uninstall\MSI30-KB884016]

[Uninstall\MSI30-RC1]

[Uninstall\MSI30-RC2]

[Uninstall\MSI30a-KB884016]

[Uninstall\MSI31-Beta]

[Uninstall\MSI31-RC1]

[Uninstall\MsJavaVM]

[Uninstall\MyCD.exe]
"UninstallString"="C:\WINDOWS\System32\\MSIEXEC.EXE /x {8214CC02-6271-4DC8-B8DD-779933450264}"

[Uninstall\NetMeeting]

[Uninstall\NLSDownlevelMapping]
"DisplayName"="Microsoft National Language Support Downlevel APIs"
"UninstallString"="\"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe\""

[Uninstall\OutlookExpress]

[Uninstall\PCHealth]
"UninstallString"="rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf"

[Uninstall\Power Management Driver]
"DisplayName"="ThinkPad Power Management Driver"
"DisplayIcon"="C:\WINDOWS\System32\Setupapi.dll,20"
"UninstallString"="RunDll32.exe tpinspm.dll,Uninstall"

[Uninstall\PROSet]
"DisplayName"="Intel(R) PRO Network Connections Drivers"
"UninstallString"="Prounstl.exe"
"DisplayIcon"=expand:"%SystemRoot%\system32\Prounstl.exe"

[Uninstall\SchedulingAgent]

[Uninstall\SGTRAY.EXE]
"UninstallString"="C:\WINDOWS\System32\\MSIEXEC.EXE /x {09DA4F91-2A09-4232-AB8C-6BC740096DE3}"

[Uninstall\ShockwaveFlash]

[Uninstall\SynTPDeinstKey]
"UninstallString"="rundll32.exe \"C:\Programme\Synaptics\SynTP\SynISDLL.dll\",standAloneUninstall"
"DisplayName"="IBM ThinkPad UltraNav Driver"

[Uninstall\ThinkPad FullScreen Magnifier]
"DisplayName"="ThinkPad FullScreen Magnifier"
"DisplayIcon"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe,0"
"UninstallString"="RunDll32 setupapi.dll,InstallHinfSection DefaultUninstall.NT 132 C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.inf"

[Uninstall\WEB.DE Club SmartFax]
"DisplayName"="WEB.DE Club SmartFax"
"UninstallString"="C:\Programme\WEB.DE\WEB.DE Club SmartFax\uninst.exe"
"DisplayIcon"="C:\Programme\WEB.DE\WEB.DE Club SmartFax\FAXUI.EXE"

[Uninstall\WGA]
"DisplayName"="Windows Genuine Advantage Validation Tool (KB892130)"

[Uninstall\WgaNotify]
"DisplayName"="Windows Genuine Advantage Notifications (KB905474)"
"UninstallString"=""

[Uninstall\WIC]

[Uninstall\Windows XP Service Pack]
"DisplayName"="Windows XP Service Pack 3"
"UninstallString"="\"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe\""

[Uninstall\{09DA4F91-2A09-4232-AB8C-6BC740096DE3}]
"InstallSource"="C:\DOKUME~1\Adriana\LOKALE~1\Temp\VIES28EA\UM\"
"UninstallString"=expand:"MsiExec.exe /I{09DA4F91-2A09-4232-AB8C-6BC740096DE3}"
"DisplayName"="IBM RecordNow Update Manager"

[Uninstall\{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}]
"InstallSource"="C:\DOKUME~1\Adriana\LOKALE~1\Temp\IXP000.TMP\"
"UninstallString"=expand:"MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}"
"DisplayName"="Security Update for CAPICOM (KB931906)"

[Uninstall\{0FABD3D7-3036-4e78-B29D-58957ADB0A12}]
"UninstallString"="\"C:\Programme\HP\Digital Imaging\{0FABD3D7-3036-4e78-B29D-58957ADB0A12}\setup\hpzscr01.exe\" -datfile hposcr03.dat"
"DisplayName"="HP PSC & OfficeJet 3.5"
"DisplayIcon"="C:\Programme\HP\Digital Imaging\{0FABD3D7-3036-4e78-B29D-58957ADB0A12}\setup\hpzscr01.exe,0"

[Uninstall\{154508C0-07C5-4659-A7A0-E49968750D21}]
"InstallSource"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak\EasyShareSetup\ESS\HLPPDOCK\"
"UninstallString"=expand:"MsiExec.exe /I{154508C0-07C5-4659-A7A0-E49968750D21}"
"DisplayName"="HLPPDOCK"

[Uninstall\{2111B23F-7FDA-4A41-8309-E5A1663CA296}]
"UninstallString"="RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup \"C:\Programme\InstallShield Installation Information\{2111B23F-7FDA-4A41-8309-E5A1663CA296}\Setup.exe\" -l0x7 anything"
"DisplayName"="Dienstprogramm 'ThinkPad-Tastaturanpassung'"
"DisplayIcon"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe"

[Uninstall\{24C8FBF7-26C6-48ca-834B-A4E5C09E362F}]
"InstallSource"="D:\Setup\AiO_Scan\"
"DisplayName"="AiO_Scan"

[Uninstall\{257EC58E-03FD-472B-A9B6-93F23A3C4CB0}]
"InstallSource"="D:\Setup\scan\"
"DisplayName"="Scan"

[Uninstall\{300D9EF4-2721-4cb4-A6C3-FB2337CFEA2D}]
"InstallSource"="D:\Setup\AIOMinimal\"
"DisplayName"="AIOMinimal"

[Uninstall\{31F21CBB-340F-47DA-8A55-E097348475B5}]

[Uninstall\{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}]
"InstallSource"="C:\WINDOWS\System32\"
"DisplayName"="WebFldrs XP"

[Uninstall\{6846389C-BAC0-4374-808E-B120F86AF5D7}]
"InstallSource"="C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater5\Install\reader8rdr-de_DE\"
"UninstallString"=expand:"MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}"
"DisplayName"="Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)"

[Uninstall\{8214CC02-6271-4DC8-B8DD-779933450264}]
"InstallSource"="D:\RN\DEU\"
"UninstallString"=expand:"MsiExec.exe /I{8214CC02-6271-4DC8-B8DD-779933450264}"
"DisplayName"="IBM RecordNow"

[Uninstall\{82B65C0E-82EF-4407-9EDE-C64A5592447A}]
"UninstallString"="RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup \"C:\Programme\InstallShield Installation Information\{82B65C0E-82EF-4407-9EDE-C64A5592447A}\Setup.exe\" -uninst "
"DisplayName"="IEEE 802.11b WLAN Utility"

[Uninstall\{8777AC6D-89F9-4793-8266-DE406F343E89}]
"InstallSource"="D:\setup\QFolder\"
"DisplayName"="QFolder"

[Uninstall\{90280407-6000-11D3-8CFE-0050048383C9}]
"InstallSource"="D:\"
"UninstallString"=expand:"MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}"
"DisplayName"="Microsoft Office XP Professional mit FrontPage"

[Uninstall\{98E8A2EF-4EAE-43B8-A172-74842B764777}]
"UninstallString"="\"C:\Programme\InstallShield Installation Information\{98E8A2EF-4EAE-43B8-A172-74842B764777}\setup.exe\" REMOVEALL"
"DisplayName"="InterVideo WinDVD"

[Uninstall\{A0AF08BA-3630-4505-BFB2-A41F3837B0D0}]
"InstallSource"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak\EasyShareSetup\SysFiles\Sfr2\"
"UninstallString"=expand:"MsiExec.exe /I{A0AF08BA-3630-4505-BFB2-A41F3837B0D0}"
"DisplayName"="SFR2"

[Uninstall\{AC76BA86-7AD7-1031-7B44-A81200000003}]
"InstallSource"="C:\Dokumente und Einstellungen\Adriana\Lokale Einstellungen\Anwendungsdaten\Adobe\Updater5\Install\reader8rdr-de_DE\"
"UninstallString"=expand:"MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}"
"DisplayName"="Adobe Reader 8.1.2 - Deutsch"

[Uninstall\{AC76BA86-7AD7-1031-7B44-A81200000003}_Adobe Reader 8.1.2 - Deutsch]
"DisplayName"="Adobe Reader 8.1.2 Security Update 1 (KB403742)"
"UninstallString"=""

[Uninstall\{BC082A8C-FE9B-4194-B366-42B5EB4D5E1D}]
"UninstallString"="C:\WINDOWS\system32\UnAWLAN_USB.exe"

[Uninstall\{BE686891-3C56-4714-AFEF-341A7867BA80}]
"UninstallString"="C:\Programme\InstallShield Installation Information\{BE686891-3C56-4714-AFEF-341A7867BA80}\setup.exe -uninst -l0x7"
"InstallSource"="D:\USB\Driver"
"DisplayName"="Wireless Network Utility"
"DisplayIcon"="C:\Programme\InstallShield Installation Information\{BE686891-3C56-4714-AFEF-341A7867BA80}\Setup.ico"

[Uninstall\{C04E32E0-0416-434D-AFB9-6969D703A9EF}]
"InstallSource"="c:\86ff57c45bea30f681ce01d2cb12d9\"
"UninstallString"=expand:"MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}"
"DisplayName"="MSXML 4.0 SP2 (KB936181)"

[Uninstall\{C354C9B6-A4E0-4BB0-A368-6DC6BCA0E314}]
"InstallSource"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak\EasyShareSetup\SysFiles\Sfr1\"
"UninstallString"=expand:"MsiExec.exe /I{C354C9B6-A4E0-4BB0-A368-6DC6BCA0E314}"
"DisplayName"="SFR"

[Uninstall\{D186329B-1B4D-408D-ABEC-EA5CE1F182C9}]
"InstallSource"="D:\Setup\overland\"
"DisplayName"="Overland"

[Uninstall\{D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5}]

[Uninstall\{D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5}\HOTKEYPACK]
"DisplayName"="Konfiguration der Hot-Key-Funktionen für ThinkPad"

[Uninstall\{D32470A1-B10C-4059-BA53-CF0486F68EBC}]
"DisplayIcon"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak\EasyShareSetup\$SETUP_9_249b67\Setup.exe,0"
"DisplayName"="Kodak EasyShare Software"
"UninstallString"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak\EasyShareSetup\$SETUP_9_249b67\Setup.exe /APR-REMOVE"

[Uninstall\{FCDB1C92-03C6-4C76-8625-371224256091}]
"InstallSource"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak\EasyShareSetup\KDEVICES\PDock\"
"UninstallString"=expand:"MsiExec.exe /I{FCDB1C92-03C6-4C76-8625-371224256091}"
"DisplayName"="ESSPDock"

-----HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall-----

===================== HIJACKTHIS LOG =====================

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:29, on 21.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\Wireless Network Utility\RtWLan.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Adriana\Desktop\sys71632.exe
C:\DOKUME~1\Adriana\LOKALE~1\Temp\nsz5.tmp\runme.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Network Utility.lnk = C:\Programme\Wireless Network Utility\RtWLan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198697782873
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710340706
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 4604 bytes

==========================================
Scan completed in 2,6 minutes
End of report


~~~~~~~~~~~~~~~~~~~~~-----CREDITS-----~~~~~~~~~~~~~~~~~~~~~
SystemScan uses some freeware tools that remain property of their authors:

* SteelWerX Registry Console Tool, Who Am I (Bobby Flekman: www.xs4all.nl/~fstaal01) --> "Registry scan", "PC accounts "
* dumphive (Markus Stephany)--> "Registry scan"
* Listdlls (M.Russinovich, B.Cogswell: www.sysinternals.com) --> "Loaded modules"
* Catchme & MBR Rootkit detector (gmer: www.gmer.net) --> "Hidden objects", "Alternate Data Streams" & "Master Boot Record"
---> NOTE: SystemScan integrates "The Avenger" from Swandog46 (http://swandog46.geekstogo.com) to allow you to remove malwares found in this log

Thanks to all of them for their hard work


*******************************************************


Hat alles geklappt !

#23 ««
kopiere in den Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\tezo.lib
C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\ysusenyfas.lib

mache einen Onlinescan mit bitdefender , lasse alles gefundene entfernen + poste den report
http://virus-protect.org/artikel/tools/bitdefender.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24 Hi - Bitdefender lief durch, allerdings wurde nach dem click auf "create a report" nur ein neues Fenster geöffnet ohne Inhalt!
Ich habe dann den Scan nochmals durchlaufen lassen und anschliessend die Ergebnisse genäß Anweisung in einen eigenen Report abgespeichert. Allerdings ist dieser Report (HTML Seite) auch leer ....was mach ich falsch?


Habe nochmal gescannt (hat übrigens wieder was festgestellt...) und diesmal einen Screen-Shot genommen. Da das Bild zu klein ist, mußte ich das Fenster verschieben damit das Ergebnis voll sichtbar wird. Dabei ist der Pfad nicht mehr sichtbar.
Der Pfad ist bei allen:

C:\Dokumente und Einstellungen\Adriana\Desktop\sys71632.exe

Screen Shot als Datei angehängt!

#25 1.
sys71632.exe
das ist von systemscan, also kein Problem , du kannst das Tool Systemscan entfernen

2.
prüfe, ob das wirklich rausgelöscht ist

C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\tezo.lib
C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\ysusenyfas.lib

falls nein - manuell entfernen

3.
nun mache einen Scan mit F-Secure (wieder den scanreport abkopieren, bitte)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#26 tezo und ysusenyfas sind raus!

F-Secure Report hier:

Scanning Report
Friday, August 22, 2008 14:17:30 - 15:36:14
Computer name: ADRIANA-LAPTOP
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 14 malware found
RiskTool.Win32.Reboot (spyware)
System
TrackingCookie.2o7 (spyware)
System
TrackingCookie.Adrevolver (spyware)
System
TrackingCookie.Adtech (spyware)
System
TrackingCookie.Advertising (spyware)
System
TrackingCookie.Atdmt (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Mediaplex (spyware)
System
TrackingCookie.Revsci (spyware)
System
TrackingCookie.Statcounter (spyware)
System
TrackingCookie.Tradedoubler (spyware)
System
TrackingCookie.Webtrends (spyware)
System
TrackingCookie.Yieldmanager (spyware)
System
TrackingCookie.Zanox (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 31897
System: 2899
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 14
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\DOKUMENTE UND EINSTELLUNGEN\ADRIANA\WSCUI.CPL

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-08-22
F-Secure AVP: 7.0.171, 2008-08-21
F-Secure Pegasus: 1.20.0, 2008-04-15
F-Secure Blacklight: 1.0.68
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

--------------------------------------------------------------------------------

Copyright © 1998-2007 Product support |Send virus sample to F-Secure


*******************************************************

Puhhhh - sag mit bitte das alles OK ist ?

#27 ja, es sollte alles wieder o.k. sein.
zum Abschluss:
lade stuff und poste den report
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Alles Klar - hier ist der Report:

doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_CURRENT_USER\Software\Microsoft\OLE
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002d00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\NetMeeting\\conf.exe"="C:\\Programme\\NetMeeting\\conf.exe:*:Enabled:Windows® NetMeeting®"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
"1900:UDP"="1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000002
"Guid"=hex:ea,7b,49,8b,84,52,3d,45,bb,95,f2,69,ae,36,bc,84
"srvcomment"=""
"AdjustedNullSessionPipes"=dword:00000001
"DisableDos"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"enableplaintextpassword"=dword:00000000
"enablesecuritysignature"=dword:00000001
"requiresecuritysignature"=dword:00000000
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Enum]
"0"="Root\\LEGACY_MESSENGER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."
"DependOnService"=hex(7):52,50,43,53,53,00,00
"DisplayName"="Remote-Registrierung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\
76,69,63,65,00
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\
00,01,00,00,00,e8,03,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum]
"0"="Root\\LEGACY_REMOTEREGISTRY\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,53,79,73,74,65,6d,33,32,5c,\
74,6c,6e,74,73,76,72,2e,65,78,65,00
"DisplayName"="Telnet"
"DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\
50,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"=hex(2):45,72,6d,f6,67,6c,69,63,68,74,20,65,69,6e,65,6d,20,52,65,\
6d,6f,74,65,62,65,6e,75,74,7a,65,72,2c,20,73,69,63,68,20,61,6e,20,64,69,65,\
73,65,6d,20,43,6f,6d,70,75,74,65,72,20,61,6e,7a,75,6d,65,6c,64,65,6e,20,75,\
6e,64,20,50,72,6f,67,72,61,6d,6d,65,20,61,75,73,7a,75,66,fc,68,72,65,6e,2e,\
20,55,6e,74,65,72,73,74,fc,74,7a,74,20,76,65,72,73,63,68,69,65,64,65,6e,65,\
20,54,43,50,2f,49,50,2d,54,65,6c,6e,65,74,63,6c,69,65,6e,74,73,2c,20,65,69,\
6e,73,63,68,6c,69,65,df,6c,69,63,68,20,55,4e,49,58,2d,62,61,73,69,65,72,74,\
65,6e,20,75,6e,64,20,57,69,6e,64,6f,77,73,2d,62,61,73,69,65,72,74,65,6e,20,\
43,6f,6d,70,75,74,65,72,6e,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,\
65,6e,73,74,20,61,6e,67,65,68,61,6c,74,65,6e,20,77,69,72,64,2c,20,69,73,74,\
20,64,65,72,20,52,65,6d,6f,74,65,7a,75,67,72,69,66,66,20,6d,f6,67,6c,69,63,\
68,65,72,77,65,69,73,65,20,6e,69,63,68,74,20,6d,65,68,72,20,76,65,72,66,fc,\
67,62,61,72,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,65,6e,73,74,20,\
64,65,61,6b,74,69,76,69,65,72,74,20,77,69,72,64,2c,20,6b,f6,6e,6e,65,6e,20,\
61,6c,6c,65,20,44,69,65,6e,73,74,65,2c,20,64,69,65,20,65,78,70,6c,69,7a,69,\
74,20,76,6f,6e,20,64,69,65,73,65,6d,20,44,69,65,6e,73,74,20,61,62,68,e4,6e,\
67,65,6e,2c,20,6e,69,63,68,74,20,6d,65,68,72,20,67,65,73,74,61,72,74,65,74,\
20,77,65,72,64,65,6e,2e,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,64,00,00,00,80,00,00,00,00,00,00,00,\
14,00,00,00,02,00,50,00,03,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,\
00,00,05,12,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,00,00,00,00,18,00,01,00,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,5f,84,1f,\
5e,2e,6b,49,ce,12,03,03,f4,01,00,00,01,05,00,00,00,00,00,05,15,00,00,00,a0,\
5f,84,1f,5e,2e,6b,49,ce,12,03,03,f4,01,00,00
"EnableDCOM"="Y"
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"LsaPid"=dword:0000039c
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000001
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"enabledcom"="y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:5b,74,12,da,f7,ea,62,58,ee,39,ae,dc,99,91,12,32,32,31,61,65,30,\
61,62,38,00,68,07,00,01,00,00,00,d8,00,00,00,dc,00,00,00,48,fa,06,00,d6,48,\
52,74,04,00,00,00,a0,fd,06,00,b8,fd,06,00,a6,2a,f8,8d

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:e9,57,87,8f,5b,a2,d7,8c,93

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:b8,70,59,e9,a3,dc

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:30,06,34,be,90,8a,9e,77,89,d8,e8,d7,dc,f7,1e,6e

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:e0,e9,db,c2,11,03,c9,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:80,de,1a,57,d6,9d,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,fc,46,5b,d6,9d,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:80,92,df,5b,d6,9d,c8,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]



*********************************************************

#29 Hallo, Caarsten

Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc

folgende zwei Dienste deaktivieren (keine anderen!)
http://virus-protect.org/windienst.html

*Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen.

Remote-Registrierung
Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern.
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

Telnet
Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen
Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen)

--------

dann sollte wieder alles i.o. sein.
Wenn es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Hi Sabina - Remote Registrierung war "automatisch" - habe ich "Deaktiviert"

Telnet war bereits dektiviert.

Ich weiss nicht was ich sagen soll - hier in Berlin ist gerade wolkenbruchartiger Niederschlag aber für mich geht gerade die Sonne auf

Ich kann mich nur ganz herzlich für all die Mühe und dis großartige Unterstützung bedanken. Natürlich werde ich Adriana den Hinweis mit PayPal geben

DANKE und alles Gute!