Wie entferne ich TR/Dldr.Agent.fdt??

#0
27.01.2009, 19:27
...neu hier

Beiträge: 4
#1 Beim allwöchentlichen Virenscan hab ich folgenden Trojaner gefunden: TR/Dldr.Agent.fdt.

'Nen Scan mit HJthis hab ich gemacht, allerdings hört da auch schon mein Wissen auf. Es wäre also super, wenn mir a) jmd helfen kann, den zu entfernen, da mein Pc ziemlich rumspinnt und b) dieser jmd das so tut, dass auch ein Laie wie ich das versteht.

Mfg airdrop

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:06:54, on 27.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\tuloxFreeWBS\FreeDict.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Office-Bibliothek\PCLib.exe
C:\WINDOWS\system32\txtuser.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\iTunes\iTunes.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*;*.afra;*.local;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [tuloxFreeWBS] C:\Programme\tuloxFreeWBS\FreeDict.exe AUTOSTART
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Willkommen beim ALDI Foto Service - {75EF8084-954D-468e-BC49-6F6FBC6C9071} - http://www.aldifotos.de/index.php (file missing) (HKCU)
O9 - Extra button: ALDI TALK mit MEDION mobile - {82460E6C-F4F8-468a-8B44-F00DD4D7F712} - http://www.medionmobile.com/ (file missing) (HKCU)
O9 - Extra button: Willkommen bei ALDI - {9EA53838-846B-4e59-892B-D87DEC919852} - http://www.aldi.com/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFA2EAFF-F034-4F4B-A6E3-7C54E8353113}: NameServer = 192.168.10.1,192.168.20.201
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
Seitenanfang Seitenende
27.01.2009, 22:21
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: Willkommen beim ALDI Foto Service - {75EF8084-954D-468e-BC49-6F6FBC6C9071} - http://www.aldifotos.de/index.php (file missing) (HKCU)
O9 - Extra button: ALDI TALK mit MEDION mobile - {82460E6C-F4F8-468a-8B44-F00DD4D7F712} - http://www.medionmobile.com/ (file missing) (HKCU)
O9 - Extra button: Willkommen bei ALDI - {9EA53838-846B-4e59-892B-D87DEC919852} - http://www.aldi.com/ (file missing) (HKCU)

Klicke Fixed checked

klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!
Suche: Boonty Games
Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Malwarebytes Anti-Malware fuer Windows NT/2000/XP/2003 Server/Vista/2008 Server
Download link 1 MalwareBytes' Anti-Malware
Download link 2 MalwareBytes' Anti-Malware
Download link 3 MalwareBytes' Anti-Malware
Download link 4 MalwareBytes' Anti-Malware
Download link 5 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Update “> klicke “Suche nache Aktualisierungen
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs
“Scanner”> "Vollständigen Suchlauf durchführen".
Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Und wo findet Antivir "TR/Dldr.Agent.fdt"
__________
MfG Argus
Seitenanfang Seitenende
28.01.2009, 17:03
...neu hier

Themenstarter

Beiträge: 4
#3 So, hier der Logfile:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 2

28.01.2009 16:52:41
mbam-log-2009-01-28 (16-52-41).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|)
Durchsuchte Objekte: 178347
Laufzeit: 2 hour(s), 25 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.

Antivir hat 'TR/Dldr.Agent.fdt' unter anderen hier gefunden:
C:\ARK6.tmp
C:\WINDOWS\system32\notepod.exe
C:\System Volume Information\_restore{6000105B-10B3-4128-A756-63811B21E500}\RP2\A0000258.dll
C:\WINDOWS\system32\rsvp.exe
Das sind nur Beispiele, da ich ca. 15 solche Funde habe.

Danke erstmal bis hierhin!
airdrop
Seitenanfang Seitenende
28.01.2009, 18:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Update MalwareBytes und scanne nochmal

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654

Bei mir
Datenbank Version: 1702

Ein Schnellscan genügt
__________
MfG Argus
Seitenanfang Seitenende
28.01.2009, 19:04
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 ComboFix(by sUBs)

Download ComboFix und speichert es auf den Desktop!
Download ComboFix1
Download ComboFix2
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen

Starte combofix.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
29.01.2009, 10:03
...neu hier

Themenstarter

Beiträge: 4
#6 ich kann mbam nicht updaten. liegt an ner firewall, auf die ich keinen zugriff habe, die verhindert das.
wie auch immer, der combofix logfile:
ComboFix 09-01-21.04 - Luise 2009-01-29 9:50:26.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.958.625 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Luise\Desktop\Lolle\Sonstiges\Setups\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
FW: Outpost Firewall Pro *disabled*
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\INSTALL.LOG
c:\windows\Web\webdc
c:\windows\Web\webdc\._einleitung.doc
c:\windows\Web\webdc\._erörterung- faust.doc
c:\windows\Web\webdc\._färbetechniken.doc
c:\windows\Web\webdc\._garden of decay.doc
c:\windows\Web\webdc\._gedicht_andenmond 09-56-20.doc
c:\windows\Web\webdc\._gedicht_andenmond.doc
c:\windows\Web\webdc\._gedichtinterpretation-an den mond.doc
c:\windows\Web\webdc\._gmk karikatur.doc
c:\windows\Web\webdc\._gmk sudan darfur.doc
c:\windows\Web\webdc\._handout_bio.doc
c:\windows\Web\webdc\._hz antrag.doc
c:\windows\Web\webdc\._inhaltsverzeichnis.doc
c:\windows\Web\webdc\._jp.doc
c:\windows\Web\webdc\._koma- was ist das.doc
c:\windows\Web\webdc\._monologo.doc
c:\windows\Web\webdc\._nachdenklich.doc
c:\windows\Web\webdc\._org.eclipse.jdt.doc.isv_3.4.0.v20080612-1340.jar
c:\windows\Web\webdc\._punks in der ddr-vortrag.doc
c:\windows\Web\webdc\._sehnsucht.doc
c:\windows\Web\webdc\._viren.doc
c:\windows\Web\webdc\~$schneidung.doc
c:\windows\Web\webdc\Ärgerblitzableiter.doc
c:\windows\Web\webdc\Über die unterschicht.doc
c:\windows\Web\webdc\ßärra.doc
c:\windows\Web\webdc\03691-872130.doc
c:\windows\Web\webdc\09 01 29 steutz.doc
c:\windows\Web\webdc\09 01 29 zerbst.doc
c:\windows\Web\webdc\09 01 30 stadtroda.doc
c:\windows\Web\webdc\09 02 05 leipzig gs marienbrunn.doc
c:\windows\Web\webdc\09 02 19 ströbeck.doc
c:\windows\Web\webdc\09 02 23 belgershain.doc
c:\windows\Web\webdc\09 02 23 leipzig schule am rabet.doc
c:\windows\Web\webdc\09 02 23 rotenburg a.d. fulda.doc
c:\windows\Web\webdc\09 02 23 rotrnburg a.d. fulda.doc
c:\windows\Web\webdc\09 02 24 saaleplatte wormstedt.doc
c:\windows\Web\webdc\09 03 10 dessau-roßlau gs rodleben.doc
c:\windows\Web\webdc\09 03 23 löbau.doc
c:\windows\Web\webdc\09 04 03 quedlinburg kleers-gs.doc
c:\windows\Web\webdc\09 04 22 salzmünde.doc
c:\windows\Web\webdc\09 04 30 schwarzenberg.doc
c:\windows\Web\webdc\09 05 04 schneidlingen.doc
c:\windows\Web\webdc\09 05 08 hohenmölsen.doc
c:\windows\Web\webdc\09 05 20 gröningen.doc
c:\windows\Web\webdc\09 05 29 raschau.doc
c:\windows\Web\webdc\09 06 02 oberbobritzsch.doc
c:\windows\Web\webdc\09 06 02 scheibenberg.doc
c:\windows\Web\webdc\09 06 03 chemnitz gs reichenbrand.doc
c:\windows\Web\webdc\09 06 03 gornau.doc
c:\windows\Web\webdc\09 06 18 hirschfelde-ostitz.doc
c:\windows\Web\webdc\09 06 18 klipphausen ot sachsdorf.doc
c:\windows\Web\webdc\09 06 19 wurzen, ringelnatz gs.doc
c:\windows\Web\webdc\09 06 24 saarbachtal.doc
c:\windows\Web\webdc\09 06 24 salzmünde imw.doc
c:\windows\Web\webdc\09 06 25 döbeln gs döbeln-ost.doc
c:\windows\Web\webdc\20€ bestätigung für probenterminr.doc
c:\windows\Web\webdc\5 infokarten von franzi.doc
c:\windows\Web\webdc\70 gs frau chist leipzig test-best.doc
c:\windows\Web\webdc\75 gs frau reißauer leipzig test-best.doc
c:\windows\Web\webdc\78 gs leipzig frau tennemann.doc
c:\windows\Web\webdc\a-schweitzer-gs naumburg angebot.doc
c:\windows\Web\webdc\abo.doc
c:\windows\Web\webdc\abrechnung.doc
c:\windows\Web\webdc\achtziger 095191202017.doc
c:\windows\Web\webdc\additummedien thomas.doc
c:\windows\Web\webdc\afra internetordnung .doc
c:\windows\Web\webdc\afra schulrat .doc
c:\windows\Web\webdc\an sl direkt.doc
c:\windows\Web\webdc\an sl zur wtlg.doc
c:\windows\Web\webdc\an zust lehrerin.doc
c:\windows\Web\webdc\angabesteuernummerfax.doc
c:\windows\Web\webdc\angebotltltbrief.doc
c:\windows\Web\webdc\angebotzuordnung.doc
c:\windows\Web\webdc\anschreibenfrrath.doc
c:\windows\Web\webdc\anzeigen 2007.doc
c:\windows\Web\webdc\aufm weihnachtsmarkt.doc
c:\windows\Web\webdc\ausarbeitung für das fach ethik (lernvertrag).doc
c:\windows\Web\webdc\ausarbeitung.doc
c:\windows\Web\webdc\beate körner 05 11 07.doc
c:\windows\Web\webdc\beate körner antwort vom 09.10.07.doc
c:\windows\Web\webdc\beate körner.doc
c:\windows\Web\webdc\beate körner07 11 06.doc
c:\windows\Web\webdc\beate körner2.doc
c:\windows\Web\webdc\begleitmusiker-jobangebot.doc
c:\windows\Web\webdc\begleitschreiben_zum_elternbrief.doc
c:\windows\Web\webdc\bell.doc
c:\windows\Web\webdc\beschneidung.doc
c:\windows\Web\webdc\beschneindung handout.doc
c:\windows\Web\webdc\beschreibung.doc
c:\windows\Web\webdc\besonderheiten der tierzelle.doc
c:\windows\Web\webdc\bestätigung terminänderung per fax.doc
c:\windows\Web\webdc\bestätigungtermine.doc
c:\windows\Web\webdc\bgleitbrief.doc
c:\windows\Web\webdc\brief (lord of the flies).doc
c:\windows\Web\webdc\brief angebot frau grande höchstätt.doc
c:\windows\Web\webdc\brief angebot gs am rabet.doc
c:\windows\Web\webdc\brief angebot gs kemberg.doc
c:\windows\Web\webdc\brief angebot gs papstdorf.doc
c:\windows\Web\webdc\brief angebot gs schmedenstedt.doc
c:\windows\Web\webdc\brief angebot gs trebitz.doc
c:\windows\Web\webdc\brief angebot gs trebsen.doc
c:\windows\Web\webdc\brief angebot.doc
c:\windows\Web\webdc\brief angebotzuordnung.doc
c:\windows\Web\webdc\brief terminverschiebung.doc
c:\windows\Web\webdc\brief unverbindl terminvorschlag.doc
c:\windows\Web\webdc\briefkopf dirk fax.doc
c:\windows\Web\webdc\briefkopf dirk.doc
c:\windows\Web\webdc\checkpoint charlie-kurz.doc
c:\windows\Web\webdc\checkpoint charlie.doc
c:\windows\Web\webdc\chemie.doc
c:\windows\Web\webdc\computerspielliste.doc
c:\windows\Web\webdc\cover.doc
c:\windows\Web\webdc\das längst verstorbene mädchen vom fluss.doc
c:\windows\Web\webdc\das sternenmädchen.doc
c:\windows\Web\webdc\denken deck&arbeitsblatt.doc
c:\windows\Web\webdc\denken.doc
c:\windows\Web\webdc\denken.docx
c:\windows\Web\webdc\der südwestwind der copacabana.doc
c:\windows\Web\webdc\deutschordenschulebüwupromotiontour.doc
c:\windows\Web\webdc\dezember planung 08.doc
c:\windows\Web\webdc\die prüfung.doc
c:\windows\Web\webdc\dna.doc
c:\windows\Web\webdc\doch bevor wir uns verabschieden.doc
c:\windows\Web\webdc\drucksache 25.03.doc
c:\windows\Web\webdc\ein schulbusfahrer ist kein held.doc
c:\windows\Web\webdc\eine erklärung.doc
c:\windows\Web\webdc\einladung fr. ostermaier.doc
c:\windows\Web\webdc\einleitung.doc
c:\windows\Web\webdc\erde - inhalt.doc
c:\windows\Web\webdc\eubakterien.doc
c:\windows\Web\webdc\fax angebot.doc
c:\windows\Web\webdc\fax preisangebot.doc
c:\windows\Web\webdc\fax termin und preisangebot gs peißen.doc
c:\windows\Web\webdc\färbetechniken.doc
c:\windows\Web\webdc\frühst_jb_08 frau rahlf.doc
c:\windows\Web\webdc\frau ewert 05 11 07.doc
c:\windows\Web\webdc\frau ewert gs alt-wolfsburg terminvorschlag.doc
c:\windows\Web\webdc\frau fleischer gs wachau terminbestät.doc
c:\windows\Web\webdc\frau kosian gs st. georgen bayreuth 05 11 07.doc
c:\windows\Web\webdc\frau petermann freital angebot.doc
c:\windows\Web\webdc\freie gs clara schumann test-best.doc
c:\windows\Web\webdc\fristverlängerung.doc
c:\windows\Web\webdc\fsm.doc
c:\windows\Web\webdc\götterfelsen.doc
c:\windows\Web\webdc\gabriel garcía márquez.doc
c:\windows\Web\webdc\garden of decay.doc
c:\windows\Web\webdc\gedicht_andenmond 09-56-20.doc
c:\windows\Web\webdc\gedicht_andenmond.doc
c:\windows\Web\webdc\gedichtinterpretation-an den mond.doc
c:\windows\Web\webdc\geschäftsordnung des schulrates.doc
c:\windows\Web\webdc\glossar Ökologie.doc
c:\windows\Web\webdc\gmk sudan darfur.doc
c:\windows\Web\webdc\gmk(08.06.03.) bonbonkocherei eckernförde.doc
c:\windows\Web\webdc\gs gagarin tag des singens.doc
c:\windows\Web\webdc\gs höchstätt fr grande.doc
c:\windows\Web\webdc\gs ilmenau fr schwappacher.doc
c:\windows\Web\webdc\gs liebertwolkwitz fr jabin test-best.doc
c:\windows\Web\webdc\gs mittelsaida, uhrzeitänderung.doc
c:\windows\Web\webdc\gs schlettau, uhrzeitänderung 7 6 2007.doc
c:\windows\Web\webdc\hörselschule eisenach hr rauschenbach.doc
c:\windows\Web\webdc\hallo andrè.doc
c:\windows\Web\webdc\hand in hand durchs autoland - inhalt.doc
c:\windows\Web\webdc\handout bio blutgewebe.doc
c:\windows\Web\webdc\handout vakuole.docx
c:\windows\Web\webdc\handout_layout-vorgaben_07_08.doc
c:\windows\Web\webdc\held - inhalt.doc
c:\windows\Web\webdc\helmstedt gs friedrichstr herr klose.doc
c:\windows\Web\webdc\herr schäfer gs am zschopenberg.doc
c:\windows\Web\webdc\hhh - inhalt.doc
c:\windows\Web\webdc\hier findet man im internet alle bundesländer.doc
c:\windows\Web\webdc\honorare 2006.doc
c:\windows\Web\webdc\hpv.doc
c:\windows\Web\webdc\http.doc
c:\windows\Web\webdc\hz antrag.doc
c:\windows\Web\webdc\ich kann nix dafür.doc
c:\windows\Web\webdc\illustrator-jobangebot.doc
c:\windows\Web\webdc\info2007besetzungen.doc
c:\windows\Web\webdc\internetseiten für dirk.doc
c:\windows\Web\webdc\jahbuchartikel chemie herr viehweg.doc
c:\windows\Web\webdc\jahrbuchartikel b@s herr kipper.doc
c:\windows\Web\webdc\jahrbuchartikel_(jurakurs) freya.doc
c:\windows\Web\webdc\jahrbuchartikel_spendenlauf conne.doc
c:\windows\Web\webdc\jahrbuchbeitrag_2_2007-2008 frau reichelt.doc
c:\windows\Web\webdc\jeder schlingel braucht `ne klingel.doc
c:\windows\Web\webdc\jufo2008 frau schnasse.doc
c:\windows\Web\webdc\karikaturen.doc
c:\windows\Web\webdc\kijiji.doc
c:\windows\Web\webdc\kostenrückerstattung-impfung.doc
c:\windows\Web\webdc\kurzbrief vorlage.doc
c:\windows\Web\webdc\lüdersen 03436488562.doc
c:\windows\Web\webdc\lass mich in ruh.doc
c:\windows\Web\webdc\lass mich in ruh_mit akkorden.doc
c:\windows\Web\webdc\lernverhalten.doc
c:\windows\Web\webdc\lolle.doc
c:\windows\Web\webdc\ltlt fax.doc
c:\windows\Web\webdc\ltlt.doc
c:\windows\Web\webdc\lv.doc
c:\windows\Web\webdc\mails.doc
c:\windows\Web\webdc\mauermuseum,...kurz.doc
c:\windows\Web\webdc\mette_kalender.doc
c:\windows\Web\webdc\mietvertrag stadt bernburg.doc
c:\windows\Web\webdc\mini - inhalt.doc
c:\windows\Web\webdc\mini.doc
c:\windows\Web\webdc\mitfahrkavalier.doc
c:\windows\Web\webdc\modeatelier silke wagler.doc
c:\windows\Web\webdc\mun jahrbuchartikel xuan.doc
c:\windows\Web\webdc\nachdenklich.doc
c:\windows\Web\webdc\niemand, der so ist.doc
c:\windows\Web\webdc\org.eclipse.jdt.doc.isv_3.4.0.v20080612-1340.jar
c:\windows\Web\webdc\org.eclipse.jdt.doc.user_3.4.0.v20080612-1340.jar
c:\windows\Web\webdc\org.eclipse.pde.doc.user_3.3.0.v20080611-1530.jar
c:\windows\Web\webdc\paulo coelho.doc
c:\windows\Web\webdc\physikolympiade-bericht herr winkler.doc
c:\windows\Web\webdc\polizeidirektion leipzig herr huth.doc
c:\windows\Web\webdc\post.doc
c:\windows\Web\webdc\programmübersicht.doc
c:\windows\Web\webdc\protokoll st2.doc
c:\windows\Web\webdc\punks in der ddr-vortrag.doc
c:\windows\Web\webdc\questionnaire.doc
c:\windows\Web\webdc\quique_english.doc
c:\windows\Web\webdc\r 008 100-150 dirk+steffen mit steuernummer.doc
c:\windows\Web\webdc\r 008 200-250 elli+rene mit steuernummer.doc
c:\windows\Web\webdc\rücksbewerbung.doc
c:\windows\Web\webdc\rechnung elli.doc
c:\windows\Web\webdc\rechnung inka.doc
c:\windows\Web\webdc\rechnung kristin kuhnert.doc
c:\windows\Web\webdc\rechnung steffen petzold.doc
c:\windows\Web\webdc\redaktion_mitgliederliste.doc
c:\windows\Web\webdc\regierungspräsidium chemnitz.doc
c:\windows\Web\webdc\review-brazil.doc
c:\windows\Web\webdc\rezept brot mit schinken.doc
c:\windows\Web\webdc\schatzi.doc
c:\windows\Web\webdc\schatzplanet.doc
c:\windows\Web\webdc\schaun schaun schaun.doc
c:\windows\Web\webdc\schlauköpfe.doc
c:\windows\Web\webdc\schreiben umsatzsteuerkorrektur.doc
c:\windows\Web\webdc\schule am rabet leipzig frau trummer.doc
c:\windows\Web\webdc\schulen aus sachsen und b herr schrameyer.doc
c:\windows\Web\webdc\sehnsucht.doc
c:\windows\Web\webdc\selbstachtung.doc
c:\windows\Web\webdc\sommerfestdeko.doc
c:\windows\Web\webdc\sprachen sind brücken steffen+dirk.doc
c:\windows\Web\webdc\stoffdruck brändl.doc
c:\windows\Web\webdc\tagebuch.doc
c:\windows\Web\webdc\tastenbelegung www live.doc
c:\windows\Web\webdc\tb+ihz.doc
c:\windows\Web\webdc\terminbestät gs möhlau.doc
c:\windows\Web\webdc\terminbestätigung fax.doc
c:\windows\Web\webdc\terminbestätigungtest kmt.doc
c:\windows\Web\webdc\terminbestätigungtest ltlt.doc
c:\windows\Web\webdc\text werbung schicken verkehrsminister.doc
c:\windows\Web\webdc\the moratorium campaign.doc
c:\windows\Web\webdc\unterschrift dirk notenschlüssel.doc
c:\windows\Web\webdc\venture_insanity.doc
c:\windows\Web\webdc\verantwortlichkeiten.doc
c:\windows\Web\webdc\verkehrswacht dresden herr samuel.doc
c:\windows\Web\webdc\verkehrswacht fulda herr brink.doc
c:\windows\Web\webdc\verkehrswacht halle frau renker.doc
c:\windows\Web\webdc\verkehrswacht havelland herr spors.doc
c:\windows\Web\webdc\verkehrswacht luckenwalde herr franke.doc
c:\windows\Web\webdc\viren.doc
c:\windows\Web\webdc\volksstimme gardelegen.doc
c:\windows\Web\webdc\vorbell.doc
c:\windows\Web\webdc\vs marktleugast herr bobeck.doc
c:\windows\Web\webdc\wü - inhalt.doc
c:\windows\Web\webdc\wau - inhalt.doc
c:\windows\Web\webdc\weihnachtswünsche werden wahr - inhalt.doc
c:\windows\Web\webdc\weihnachtswünsche werden wahr neu.doc
c:\windows\Web\webdc\wenn ich verkehrsminister wär.doc
c:\windows\Web\webdc\wettbewerbsübersicht.doc
c:\windows\Web\webdc\wie schön wär jetzt ein päuschen.doc
c:\windows\Web\webdc\www - inhalt.doc
c:\windows\Web\webdc\zisantwort.doc.doc
c:\windows\Web\webdc\zum einen ohr rein.doc
c:\windows\Web\webhp
c:\windows\Web\webpf
c:\windows\Web\webpf\._mi11.pdf
c:\windows\Web\webpf\_08.04.18._ Stipendiatenbericht.pdf
c:\windows\Web\webpf\Afra Schülerkasse.pdf
c:\windows\Web\webpf\bc1_2.pdf
c:\windows\Web\webpf\bonnie_tyler--total_eclipse_of_the_heart.pdf
c:\windows\Web\webpf\can_you_feel_the_love_tonight__elton_john.pdf
c:\windows\Web\webpf\cd_cover Kartonstecktasche Kurven.pdf
c:\windows\Web\webpf\cd_cover Kartonstecktasche.pdf
c:\windows\Web\webpf\Cubase Handbuch Notensatz.pdf
c:\windows\Web\webpf\disparitäten.pdf
c:\windows\Web\webpf\doors--light_my_fire.pdf
c:\windows\Web\webpf\geschi_08.05.15._ Zwangsenteignung.pdf
c:\windows\Web\webpf\gmk_08.06.03._ Bonbonkocherei Eckernförde.pdf
c:\windows\Web\webpf\guns_n_roses__novermber_rain.pdf
c:\windows\Web\webpf\Handbook_06_Deu.pdf
c:\windows\Web\webpf\Label Verkehr.pdf
c:\windows\Web\webpf\Label.pdf
c:\windows\Web\webpf\MaikeSperk_StAfra-Ausgaben.pdf
c:\windows\Web\webpf\mette_kalender (1).pdf
c:\windows\Web\webpf\mi11.pdf
c:\windows\Web\webpf\NeukonzeptionZeitderStille.pdf
c:\windows\Web\webpf\oasis__wonderwall.pdf
c:\windows\Web\webpf\Plakat.pdf
c:\windows\Web\webpf\Platon - Gorgias.pdf
c:\windows\Web\webpf\RufusWainwright-Hallelujah.pdf
c:\windows\Web\webpf\smells_like_teen_spirit__nirvana.pdf
c:\windows\Web\webpf\SozialeFrage.pdf
c:\windows\Web\webpf\Spielplan 08_09 hinten.pdf
c:\windows\Web\webpf\Spielplan 08_09 vorn.pdf
c:\windows\Web\webpf\Viren_Aufbau_und_Replikation2.pdf
c:\windows\Web\webpf\Volksstimme Gardelegen.pdf
c:\windows\Web\webpf\XPSVLR.pdf
c:\windows\Web\webpt
c:\windows\Web\webpt\1984.ppt
c:\windows\Web\webpt\beschneidung.ppt
c:\windows\Web\webpt\cien años de soledad.ppt
c:\windows\Web\webpt\colonización suramérica.ppt
c:\windows\Web\webpt\descolonización de américa.ppt
c:\windows\Web\webpt\die vakuole.pptx
c:\windows\Web\webpt\fsm ethik.ppt
c:\windows\Web\webpt\industrialisierung in sachsen.ppt
c:\windows\Web\webpt\insanity lolle.ppt
c:\windows\Web\webpt\kohlenhydrate.ppt
c:\windows\Web\webpt\la democratización en chile.pptx
c:\windows\Web\webpt\punks in der ddr.pptx
c:\windows\Web\webpt\unternehmen weltfrieden.ppt
c:\windows\Web\webpt\zellwand.ppt
c:\windows\Web\webxs
c:\windows\Web\webxs\abschreibungen 2006.xls
c:\windows\Web\webxs\abschreibungen 2007.xls
c:\windows\Web\webxs\bürobelege.xls
c:\windows\Web\webxs\bankkonto buchungen.xls
c:\windows\Web\webxs\benzin a.xls
c:\windows\Web\webxs\benzin b.xls
c:\windows\Web\webxs\benzin teams.xls
c:\windows\Web\webxs\cd-verkäufe 2006.xls
c:\windows\Web\webxs\cd-verkäufe 2007.xls
c:\windows\Web\webxs\cd-verkäufe ab 14_5_2007.xls
c:\windows\Web\webxs\cd-verkäufe bis 13_5_2007.xls
c:\windows\Web\webxs\fahrplan rückfahrt.xls
c:\windows\Web\webxs\ferienplan_08-09-neu.xls
c:\windows\Web\webxs\kassenbuch a.xls
c:\windows\Web\webxs\kassenbuch exakt.xls
c:\windows\Web\webxs\kfz-kilometer 2005.xls
c:\windows\Web\webxs\kilometer 2006.xls
c:\windows\Web\webxs\kilometer 2007.xls
c:\windows\Web\webxs\kilometer 2008.xls
c:\windows\Web\webxs\kollegen abrechnung 2005 rene.xls
c:\windows\Web\webxs\kollegen abrechnung 2005.xls
c:\windows\Web\webxs\kollegen abrechnung 2006 elli.xls
c:\windows\Web\webxs\kollegen abrechnung 2006 inka.xls
c:\windows\Web\webxs\kollegen abrechnung 2006 michael brödel.xls
c:\windows\Web\webxs\kollegen abrechnung 2006 rene.xls
c:\windows\Web\webxs\kollegen abrechnung 2006.xls
c:\windows\Web\webxs\kollegen abrechnung 2007 elli.xls
c:\windows\Web\webxs\kollegen abrechnung 2007 inka.xls
c:\windows\Web\webxs\kollegen abrechnung 2007 kristin.xls
c:\windows\Web\webxs\kollegen abrechnung 2007 rené.xls
c:\windows\Web\webxs\kollegen abrechnung 2007 steffen.xls
c:\windows\Web\webxs\kollegen abrechnung 2007.xls
c:\windows\Web\webxs\kollegen abrechnung 2008.xls
c:\windows\Web\webxs\päckchenliste bereinigt.xls
c:\windows\Web\webxs\tabellarische finanplanung.xls
c:\windows\Web\webxs\verpflegungs-mehraufwand 2006.xls
c:\windows\Web\webxs\ws07_08 frau rahlf.xls
c:\windows\Web\webxs\zirkus-projekt.xls
c:\windows\Web\webxs\zuordnungsliste.xls

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((( Dateien erstellt von 2008-12-28 bis 2009-01-29 ))))))))))))))))))))))))))))))
.

2010-01-24 08:11 . 2010-01-24 08:11 <DIR> d-------- c:\programme\Avira
2010-01-24 08:11 . 2010-01-24 08:11 <DIR> d----c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2010-01-18 19:21 . 2010-01-18 19:21 <DIR> d-------- c:\programme\VideoLAN
2009-01-28 12:49 . 2009-01-28 19:48 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-28 12:49 . 2009-01-28 12:49 <DIR> d----c--- c:\dokumente und einstellungen\Luise\Anwendungsdaten\Malwarebytes
2009-01-28 12:49 . 2009-01-28 12:49 <DIR> d----c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-28 12:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-28 12:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-27 19:06 . 2009-01-27 19:06 <DIR> d-------- c:\programme\Trend Micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-23 22:40 --------- d-----w c:\programme\Bonjour
2010-01-15 18:07 --------- d-----w c:\programme\Winamp
2010-01-14 17:45 --------- d-----w c:\programme\LingoPad
2010-01-12 18:47 --------- dc----w c:\dokumente und einstellungen\Luise\Anwendungsdaten\CyberLink
2010-01-12 10:54 --------- dc----w c:\dokumente und einstellungen\Luise\Anwendungsdaten\U3
2009-01-28 16:31 --------- dc----w c:\dokumente und einstellungen\Luise\Anwendungsdaten\Canon
2008-12-12 16:22 --------- dc----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-02-27 15:43 77,888 -c--a-w c:\dokumente und einstellungen\Luise\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-08-28 11:55 8 --sh--r c:\windows\system32\92F0C6A721.sys
2006-07-05 10:55 165,281 --sha-r c:\windows\system32\blgfm.dll
2006-08-28 11:55 4,184 -csha-w c:\windows\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="c:\programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-29 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2006-07-13 147456]
"QuickFinder Scheduler"="c:\programme\WordPerfect Office X3\Programs\QFSCHD130.EXE" [2005-11-30 77892]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-02-28 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2006-02-28 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2006-02-28 455168]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"tuloxFreeWBS"="c:\programme\tuloxFreeWBS\FreeDict.exe" [2003-05-13 1449984]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 c:\windows\soundman.exe]
"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-11-01 c:\windows\system32\VTTrayp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Office-Bibliothek-Direktsuche.lnk - c:\programme\Office-Bibliothek\PCLib.exe [2008-05-19 323584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\programme\TGTSoft\StyleXP\Logon\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Programme\\NetMeeting\\Conf.exe"=
"c:\\Programme\\CesarFTP\\Server.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Exodus\\Exodus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2645:TCP"= 2645:TCP:mbkebe

S3 krdpdre;krdpdre;\??\c:\dokume~1\Luise\LOKALE~1\Temp\krdpdre.sys --> c:\dokume~1\Luise\LOKALE~1\Temp\krdpdre.sys [?]
S4 nntfsfmam;Config Helper;c:\windows\system32\svchost.exe -k netsvcs [2006-05-17 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
nntfsfmam

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31616548-dc1f-11db-9c1f-0016179e1fac}]
\Shell\AutoRun\command - I:\LaunchU3.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31616549-dc1f-11db-9c1f-0016179e1fac}]
\Shell\AutoRun\command - e.cmd
\Shell\explore\Command - e.cmd
\Shell\open\Command - e.cmd
.
Inhalt des "geplante Tasks" Ordners

2010-01-21 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe []

2008-12-06 c:\windows\Tasks\Datenträgerbereinigung.job
- c:\windows\system32\cleanmgr.exe [2006-02-28 13:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://web.de/
uInternet Settings,ProxyServer = 192.168.10.1:3128
uInternet Settings,ProxyOverride = 192.168.*;*.afra;*.local;<local>
IE: Download with Xilisoft Download YouTube Video - c:\programme\Xilisoft\Download YouTube Video\upod_link.HTM
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Öffnen mit WordPerfect - c:\programme\WordPerfect Office X3\Programs\WPLauncher.hta
TCP: {DFA2EAFF-F034-4F4B-A6E3-7C54E8353113} = 192.168.10.1,192.168.20.201
FF - ProfilePath - c:\dokumente und einstellungen\Luise\Anwendungsdaten\Mozilla\Firefox\Profiles\cdhgvfjy.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - prefs.js: browser.startup.homepage - hxxp://www.web.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&q=
FF - prefs.js: network.proxy.ftp - 192.168.10.1
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - 192.168.10.1
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - 192.168.10.1
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - 192.168.10.1
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - 192.168.10.1
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 1
FF - plugin: c:\programme\Java\jre1.5.0_08\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_08\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_08\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_08\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_08\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_08\bin\NPJPI150_08.dll
FF - plugin: c:\programme\Java\jre1.5.0_08\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 09:55:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nntfsfmam]
"ServiceDll"="c:\windows\system32\blgfm.dll"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\TGTSoft\StyleXP\StyleXPService.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-29 9:59:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-29 08:59:02

Vor Suchlauf: 11 Verzeichnis(se), 109.259.313.152 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 109,449,752,576 Bytes frei

542
Seitenanfang Seitenende
29.01.2009, 10:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
VISTA
Öffnen Sie den Explorer und gehen in der oberen linken Ecke auf „Organisieren“.
Wählen Sie den Punkt Ordner und Suchoptionen.
Im Register „Ansicht“ gehen Sie auf
„Versteckte Dateien und Ordner“ und wählen hier, alle Dateien und Ordner anzeigen.
Bestätigen Sie nun mit O.K. um diese Änderung zu übernehmen.

Prüfe mal diese Datei(en) bei Virustotal

Zitat

C:\WINDOWS\system32\txtuser.exe
Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste die Daten
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus
Seitenanfang Seitenende
29.01.2009, 14:24
...neu hier

Themenstarter

Beiträge: 4
Seitenanfang Seitenende
30.01.2009, 00:03
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Frage ist jetzt ob die doc und xls noch irgendwo auf dein rechner stehen und ob es nicht besser ist zu Formatieren

http://www.prevx.com/filenames/X33329153788227477-0/NOTEPOD.EXE.html
__________
MfG Argus
Seitenanfang Seitenende