Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   Spyware Doctor: Backdoor.GrayBird.K (https://www.trojaner-board.de/52962-spyware-doctor-backdoor-graybird-k.html)

stYle345 24.05.2008 22:23
Spyware Doctor: Backdoor.GrayBird.K
 
Hey,

der pc von meim dad wird fürs geschäft usw. benutzt. er ist in letzter zeit sehr langsam und hap sämtliche virentest gemacht. spyware doctor hat bei den suchergebnissen dann angezeigt:


Backdoor.GrayBird.K

ich kann den backdoor net löschen, weil ich das programm erst kaufen müsste.

Meine Frage jetz:

wenn wir das kaufen würden, würde dann alles von dem backdoor nach dem löschen weg sein?

hab gegoogelt und gesehen das man es manuell entfernen kann, das aber wahrscheinlich zu hoch für mich is ;D


bitte um hilfe

greeZ

KarlKarl 24.05.2008 22:37
Hi,

und vermutlich hat Spyware Doctor auch nicht mitgeteilt, wo er das gefunden hat. Panik schüren hilft eben gut die Verkaufszahlen anzukurbeln. Da wird auch gerne mal was erfunden. Ich würde dieses Schrottprogramm deinstallieren.

Stell mal ein Hijackthis rein und berichte genauer, was bereits an Scans erledigt wurde.

Gruß, Karl

stYle345 24.05.2008 22:45
Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

KarlKarl 24.05.2008 22:57
Escan ist ein weiteres dieser Programme, die mit Fehlalarmen um sich schmeißen, um dann auf ihre Kaufversion aufmerksam zu machen. Ok, der arbeitet wenigstens mit Kaspersky-Erkennungen, schöne Ergänzung zu Antivir, aber auch zu haben ohne die hinzugefügten Fehlalarme: Kaspersky Online

ansosnten mache ich da noch eine RX Toolbar aus. Erstmal in Systemsteuerung Software schauen, ob sie sich da deinstallieren lässt.

stYle345 24.05.2008 23:15
hier diese main von dem scanner:


Deckard's System Scanner v20071014.68
Run by Thomas Poppe on 2008-05-24 23:57:53
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Failed to create restore point; System Restore is disabled (service is not running).


-- Last 5 Restore Point(s) --
18: 2008-05-23 13:47:46 UTC - RP18 - Software Distribution Service 3.0
17: 2008-05-22 16:54:19 UTC - RP17 - Software Distribution Service 3.0
16: 2008-05-19 19:30:47 UTC - RP16 - Windows Defender Checkpoint
15: 2008-05-19 17:43:21 UTC - RP15 - Software Distribution Service 3.0
14: 2008-05-19 17:40:47 UTC - RP14 - Windows Defender wird installiert


-- First Restore Point --
1: 2008-05-13 16:08:24 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Thomas Poppe.exe) ----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

stYle345 24.05.2008 23:16
-- Files created between 2008-04-25 and 2008-05-25 -----------------------------

2008-05-24 22:10:21 0 d-a------ C:\WINNT\zts2.exe
2008-05-24 22:10:21 0 d-a------ C:\WINNT\system32\vcmgcd32.dll
2008-05-24 22:10:21 0 d-a------ C:\WINNT\system32\systems.txt
2008-05-24 22:10:21 0 d-a------ C:\WINNT\system32\iifgfgf.dll
2008-05-24 22:10:21 0 d-a------ C:\WINNT\rundll16.exe
2008-05-24 22:10:21 0 d-a------ C:\WINNT\rundl132.dll
2008-05-24 22:10:21 0 d-a------ C:\WINNT\logo1_.exe
2008-05-24 19:23:07 0 d-------- C:\Programme\Spyware Doctor
2008-05-20 11:18:20 0 d-------- C:\Programme\MaSt's DHTML-Menü Designer
2008-05-19 19:40:48 0 d-------- C:\Programme\Windows Defender
2008-05-19 19:29:51 159744 --a------ C:\WINNT\system32\hasher.dll <Not Verified; ; hasher Dynamic Link Library>
2008-05-19 18:43:27 17408 --a------ C:\WINNT\system32\drivers\pxark.sys <Not Verified; Prevx; Prevx CSI>
2008-05-19 18:43:26 0 d-------- C:\Programme\PrevxCSI
2008-05-19 16:25:36 0 d-------- C:\Programme\Multimedia Fusion 2
2008-05-18 10:13:09 0 d-------- C:\Programme\Trend Micro
2008-05-16 17:10:10 0 d-------- C:\WINNT\cache-93423-17382-59373-28323
2008-05-16 12:32:56 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\dwhelper
2008-05-16 11:57:30 0 d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-05-15 15:52:43 0 --a------ C:\WINNT\ativpsrm.bin
2008-05-14 16:45:49 0 d-------- C:\Programme\ICQ6
2008-05-14 16:07:25 0 d-------- C:\Programme\Ten Thumbs Typing Tutor
2008-05-14 14:22:27 0 d-------- C:\Programme\Windows Media Connect 2
2008-05-14 14:21:28 0 d-------- C:\WINNT\system32\LogFiles
2008-05-14 14:21:28 0 d-------- C:\WINNT\system32\drivers\UMDF
2008-05-14 14:12:03 0 d-------- C:\WINNT\Prefetch
2008-05-14 14:06:39 0 d-------- C:\WINNT\system32\de-de
2008-05-14 14:06:38 0 d-------- C:\WINNT\system32\de
2008-05-14 14:06:38 0 d-------- C:\WINNT\l2schemas
2008-05-14 14:04:02 0 d-------- C:\WINNT\network diagnostic
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\usmt
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\oobe
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\IME
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\icsxml
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\3com_dmi
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\3076
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\2052
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1054
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1042
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1041
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1037
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1033
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1031
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1028
2008-05-13 19:12:06 0 d-------- C:\WINNT\system32\1025
2008-05-13 19:12:06 0 d-------- C:\WINNT\Resources
2008-05-13 19:12:06 0 d-------- C:\WINNT\mui
2008-05-13 19:12:06 0 d-------- C:\WINNT\java
2008-05-13 18:37:44 0 d-------- C:\WINNT\system32\PreInstall
2008-05-13 18:37:42 0 d--h----- C:\WINNT\$hf_mig$
2008-05-13 18:19:17 0 d-------- C:\WINNT\peernet
2008-05-13 18:19:16 0 d-------- C:\WINNT\provisioning
2008-05-13 18:17:50 0 d-------- C:\WINNT\ServicePackFiles
2008-05-13 18:13:13 0 d-------- C:\WINNT\EHome
2008-05-13 17:32:19 0 d-------- C:\WINNT\system32\xircom
2008-05-13 17:30:36 0 d-------- C:\Programme\Online-Dienste
2008-05-13 17:29:57 0 d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2008-05-13 17:29:54 0 d-------- C:\WINNT\srchasst
2008-05-13 17:29:49 0 d-------- C:\WINNT\system32\Restore
2008-05-13 17:28:59 0 d-------- C:\Programme\Online Services
2008-05-13 17:28:46 0 d-------- C:\WINNT\system32\FxsTmp
2008-05-13 17:28:25 0 d-------- C:\Programme\MSN Gaming Zone
2008-05-13 17:28:06 0 d-------- C:\WINNT\system32\MsDtc
2008-05-13 17:21:52 0 d-------- C:\WINNT\system32\ReinstallBackups
2008-05-13 17:18:27 0 d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-05-13 17:17:49 0 d-------- C:\WINNT\system32\CatRoot2
2008-05-13 17:07:53 0 d-------- C:\WINNT\setup.pss
2008-05-12 21:21:29 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_460.dat
2008-05-12 13:06:22 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_114.dat
2008-05-12 13:04:13 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_404.dat
2008-05-12 01:28:03 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_214.dat
2008-05-12 00:28:16 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_110.dat
2008-05-11 22:42:14 0 --a------ C:\Dokumente und Einstellungen\Thomas Poppe\ftp
2008-05-11 21:52:19 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_6a0.dat
2008-05-11 21:52:19 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_5c4.dat
2008-05-11 21:51:49 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_57c.dat
2008-05-11 21:51:45 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_3b0.dat
2008-05-10 14:21:48 0 d-------- C:\Programme\QIP
2008-05-08 15:41:59 0 d-------- C:\Programme\Adventure Maker v4.5.1
2008-05-07 14:43:10 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\My Documents
2008-05-07 14:11:40 0 d-------- C:\Programme\WolfQuest
2008-05-05 13:21:47 0 d-------- C:\Westwood
2008-05-04 16:46:20 0 d-------- C:\Programme\Yume Team
2008-05-04 16:32:01 0 d-------- C:\Programme\Enterbrain
2008-05-02 14:42:24 0 d-------- C:\Programme\3D-Fahrschule 4 - Demo
2008-05-02 13:23:05 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_6bc.dat
2008-05-02 13:23:05 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_6a4.dat
2008-05-02 13:22:33 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_588.dat


-- Find3M Report ---------------------------------------------------------------

2008-05-24 19:24:22 414130 --a----c- C:\WINNT\system32\perfh007.dat
2008-05-24 19:24:22 79618 --a------ C:\WINNT\system32\perfc007.dat
2008-05-24 19:23:07 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\PC Tools
2008-05-24 10:39:45 0 d-------- C:\Programme\Steam
2008-05-22 18:53:11 413696 --a------ C:\WINNT\system32\wrap_oal.dll <Not Verified; Creative Labs; Creative Labs OpenAL32>
2008-05-22 18:53:11 110592 --a------ C:\WINNT\system32\OpenAL32.dll <Not Verified; Portions (C) Creative Labs Inc. and NVIDIA Corp.; Standard OpenAL(TM) Library>
2008-05-20 18:59:41 0 d-------- C:\Programme\MSI
2008-05-19 16:26:11 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Clickteam
2008-05-18 16:04:30 0 d-------- C:\Programme\Creative
2008-05-18 16:02:29 0 d--h----- C:\Programme\InstallShield Installation Information
2008-05-16 15:26:50 0 d-------- C:\Programme\Google
2008-05-16 12:43:28 0 d-------- C:\Programme\No23 Recorder
2008-05-16 11:57:38 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Real
2008-05-16 11:57:30 0 d-a------ C:\Programme\Gemeinsame Dateien
2008-05-16 11:57:28 0 d-------- C:\Programme\Gemeinsame Dateien\Real
2008-05-16 10:12:41 0 d-------- C:\Programme\HLSW
2008-05-15 15:53:23 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\ATI
2008-05-15 15:49:27 0 d-------- C:\Programme\ATI Technologies
2008-05-15 13:09:38 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Creative
2008-05-14 18:31:02 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\ICQ
2008-05-14 16:41:53 0 d-------- C:\Programme\ICQLite
2008-05-14 16:32:14 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Macromedia
2008-05-14 15:58:17 0 d-------- C:\Programme\PokerStars.NET
2008-05-14 15:54:15 0 d-------- C:\Programme\AVS4YOU
2008-05-14 15:54:02 0 d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-05-14 14:06:52 0 dr------- C:\Programme\Messenger
2008-05-14 14:06:38 0 dr------- C:\Programme\Movie Maker
2008-05-14 14:05:16 0 d-------- C:\Programme\Windows NT
2008-05-13 18:36:06 0 d-ah----- C:\Programme\WindowsUpdate
2008-05-13 17:29:08 23032 --a----c- C:\WINNT\system32\emptyregdb.dat
2008-05-10 13:51:24 0 d-------- C:\Programme\Graal
2008-05-10 13:51:24 0 d--hs---- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\.#
2008-05-10 13:44:04 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\Hamachi
2008-05-07 13:09:41 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-07 13:09:06 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\AdobeUM
2008-04-18 21:58:18 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_434.dat
2008-04-18 21:57:44 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_538.dat
2008-04-18 21:57:39 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_3a0.dat
2008-04-17 12:36:47 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_694.dat
2008-04-17 12:36:23 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_568.dat
2008-04-15 15:59:16 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_444.dat
2008-04-15 13:30:12 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_520.dat
2008-04-12 10:16:14 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\AVS4YOU
2008-04-06 10:08:32 22016 --a------ C:\WINNT\system32\prospeed_bmp2jpg.dll
2008-04-05 12:01:10 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_310.dat
2008-04-04 21:53:16 47624 --a------ C:\WINNT\system32\wuwuninst.exe
2008-04-04 21:44:34 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\teamspeak2
2008-04-03 20:08:06 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\MAGIX
2008-04-03 20:07:41 0 d-------- C:\Programme\MAGIX
2008-04-03 20:07:29 0 d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-03-28 21:05:00 593920 -----n--- C:\WINNT\system32\ati2sgag.exe <Not Verified; ; ATI Smart>
2008-03-28 16:55:52 0 d-------- C:\Programme\Audio Converter
2008-03-28 11:51:29 16384 --a-----t C:\WINNT\system32\Perflib_Perfdata_688.dat
2008-03-25 16:29:12 0 d-------- C:\Programme\Firefly Studios
2008-03-25 16:08:07 1942 --ahs---- C:\WINNT\system32\KGyGaAvL.sys
2008-03-25 16:08:07 56 -rahs---- C:\WINNT\system32\B1F42E2F2A.sys
2008-03-25 16:07:44 0 d-------- C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten\AntsSoft
2008-03-05 13:50:18 24879 --a------ C:\WINNT\res32dat3.dll


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdReg"="C:\WINNT\UpdReg.EXE" [11.05.2000 02:00]
"TRIXX"="C:\Programme\TRIXX\TRIXX.exe" [16.08.2005 13:18]
"TrayServer"="C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe" [29.03.2007 11:05]
"Synchronization Manager"="mobsync.exe" [14.04.2008 04:22 C:\WINNT\system32\mobsync.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.2008 05:25]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [24.09.2006 03:24]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [09.07.2001 11:50]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" []
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [16.06.2004 07:03]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe" [16.06.2004 07:03]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [14.01.2004 03:10]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [15.04.2008 14:24]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [28.10.2005 22:05]
"AGEIA PhysX SysTray"="C:\Programme\AGEIA Technologies\TrayIcon.exe" [20.03.2006 21:43]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [21.01.2008 12:17]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [16.05.2008 11:57]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [03.11.2006 19:20]
"CTHelper"="CTHELPER.EXE" [20.02.2008 20:58 C:\WINNT\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [20.02.2008 20:58 C:\WINNT\system32\Ctxfihlp.exe]
"UserFaultCheck"="C:\WINNT\system32\dumprep 0 -u" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" []
"VoipCheapCom"="C:\Programme\VoipCheapCom\VoipCheapCom.exe" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe" []
"Creative Detector"="C:\Programme\Creative\MediaSource\Detector\CTDetect.exe" [02.12.2004 19:23]
"CTFMON.EXE"="C:\WINNT\system32\ctfmon.exe" [14.04.2008 04:22]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop
"tscuninstall"=%systemroot%\system32\tscupgrd.exe
"SetDefaultMIDI"=MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy'

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23.04.2008 03:38:16]
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [27.10.2006 11:35:28]
MSI Wireless Utility.lnk - C:\Programme\MSI\Common\RaUI.exe [06.09.2006 14:43:28]
NkbMonitor.exe.lnk - C:\Programme\Nikon\PictureProject\NkbMonitor.exe [01.01.2006 20:55:14]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINNT\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
napagent
hkmsvc




-- End of Deckard's System Scanner: finished at 2008-05-25 00:07:36 ------------

stYle345 24.05.2008 23:18
Hier die EXTRA.txt


Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) XP 3200+
Percentage of Memory in Use: 40%
Physical Memory (total/avail): 1023.48 MiB / 611.51 MiB
Pagefile Memory (total/avail): 2463.89 MiB / 2096.61 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1906.93 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 153.38 GiB total, 102.47 GiB free.
E: is CDROM (No Media)
F: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - Hitachi HDS721616PLA380 SCSI Disk Device - 153.38 GiB - 1 partition
\PARTITION0 (bootable) - Installierbares Dateisystem - 153.38 GiB - C:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Thomas Poppe\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=AMD-XP3200
ComSpec=C:\WINNT\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\Thomas Poppe
LOGONSERVER=\\AMD-XP3200
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINNT\system32;C:\WINNT;C:\WINNT\system32\WBEM;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem\;C:\Programme\Haufe\iDesk\iDeskService\;C:\Programme\Gemeinsame Dateien\GTK\2.0\bin;C:\Programme\ATI Technologies\ATI.ACE\Core-Static
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.5.0_06\lib\ext\QTJava.zip
SESSIONNAME=Console
sourcesdk=c:\programme\steam\steamapps\domipoppe\sourcesdk
SystemDrive=C:
SystemRoot=C:\WINNT
TEMP=C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp
TMP=C:\DOKUME~1\THOMAS~1\LOKALE~1\Temp
USERDOMAIN=AMD-XP3200
USERNAME=Thomas Poppe
USERPROFILE=C:\Dokumente und Einstellungen\Thomas Poppe
VProject=c:\programme\valve\steam\steamapps\domipoppe\counter-strike source\cstrike
windir=C:\WINNT


-- User Profiles ---------------------------------------------------------------

Thomas Poppe (admin)

-- Add/Remove Programs ---------------------------------------------------------

--> "C:\Programme\Creative\Sound Blaster X-Fi\Program\SETUP.EXE" /S /U /W /L:GER
--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> C:\WINNT\IsUninst.exe -fC:\Programme\GIGABYTE\USB20\Uninst.isu
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0B095086-7205-4D48-90DF-DCD16613C6D4}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0B095086-7205-4D48-90DF-DCD16613C6D4}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E5AA361-4B16-4282-B639-9E5B2B6A2EC8}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0E5AA361-4B16-4282-B639-9E5B2B6A2EC8}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{103BCDA0-E063-46AC-8028-64E78722ABA7}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{103BCDA0-E063-46AC-8028-64E78722ABA7}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2616B36E-38CE-4357-8AB5-8B3EE9B1C117}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2616B36E-38CE-4357-8AB5-8B3EE9B1C117}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32903944-19A2-418C-901D-4BBAF4C55ABA}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{32903944-19A2-418C-901D-4BBAF4C55ABA}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D8AA0B4-E890-4BF7-A9D1-8E63027E76D3}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4D8AA0B4-E890-4BF7-A9D1-8E63027E76D3}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6BF90A01-FA3F-42B9-A071-7D744409967E}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6BF90A01-FA3F-42B9-A071-7D744409967E}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{700932B3-A964-4878-82A2-96054622A1F7}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7AFFF09F-386B-4F7A-B3E0-EC24C13893AA}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{7AFFF09F-386B-4F7A-B3E0-EC24C13893AA}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{836612F0-1571-4C65-A4B7-58A39AA578EE}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{836612F0-1571-4C65-A4B7-58A39AA578EE}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{84F573D3-0F71-4768-978A-D35310E3FBA6}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8A3F2ADE-DEF2-4A50-866A-6B9357B5590F}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{8A3F2ADE-DEF2-4A50-866A-6B9357B5590F}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A82F10CB-18B5-4EAC-AEF2-FA49CD565626}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B8DA9EB2-DBEF-4F0A-B90A-45B77D9E65B2}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B8DA9EB2-DBEF-4F0A-B90A-45B77D9E65B2}\setup.exe" -l0x7 /remove
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB99E420-8071-48F9-9567-4A53BE7569C4}\setup.exe" -l0x7
--> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CB99E420-8071-48F9-9567-4A53BE7569C4}\setup.exe" -l0x7 /remove
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINNT\INF\PCHealth.inf
3D-Fahrschule 4 - Demo --> "C:\Programme\3D-Fahrschule 4 - Demo\uninstall.exe"
Adobe Flash Player 9 ActiveX --> C:\WINNT\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Flash Player ActiveX --> C:\WINNT\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin --> C:\WINNT\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.1.0 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A71000000002}
Adobe Shockwave Player --> C:\WINNT\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINNT\system32\Macromed\SHOCKW~1\Install.log
AFPL Ghostscript Fonts --> C:\gs\uninstgs.exe "C:\gs\fonts\uninstal.txt"
AGEIA PhysX v2.3.3 --> "C:\Programme\AGEIA Technologies\uninstall.exe"
ArcSoft Panorama Maker 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A5F68DC8-0278-4AD8-B413-861509B5F25B}\Setup.exe" -l0x7
ArcSoft PhotoBase 3 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C1D14C0D-FDAA-4DF2-8441-A902805CCE8C}\setup.exe" -l0x7 -uninst
ArcSoft PhotoStudio 5 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{03F1CC67-5BD8-4C36-8394-76311B2AE69A}\setup.exe" -l0x7 -uninst
ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x544e
ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe"
ATI Display Driver --> rundll32 C:\WINNT\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI HYDRAVISION --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{083F79E4-6FE9-46FB-A6C6-4F8862742947}\setup.exe"
Avira AntiVir Personal – Free Antivirus --> C:\Programme\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
BDE 5.11 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{15DBFA20-05BB-44C1-909F-CC9AFBD25F6F}\SETUP.EXE"
Between the Lines --> MsiExec.exe /X{EC88AED4-15DE-4868-998F-0DB3B0CC1FAA}
BuddyW 1.1.10 --> "C:\Programme\BuddyW\unins000.exe"
BZFlag(remove only) --> "C:\Programme\BZFlag1.10.8\uninstall.exe"
Canon CanoScan Toolbox 4.0 --> C:\WINNT\IsUn0407.exe -f"C:\Programme\Canon\CanoScan Toolbox Ver4.0\Uninst.isu" -c"C:\Programme\Canon\CanoScan Toolbox Ver4.0\uninst.dll"
Canon iP4200 --> C:\WINNT\system32\CNMCP78.exe "-PRINTERNAMECanon iP4200" "-HELPERDLLC:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ\IJPrinter\CNMWINNT\Canon iP4200 Installer\Inst2\cnmis.dll" "-RCDLLcnmi0407.dll"
Canon PhotoRecord --> MsiExec.exe /X{BBBC2B89-E193-4348-A83C-C8DD8210A4AC}
Canon Setup Utility 2.0 --> "C:\Programme\Canon\Canon Setup Utility 2.0\Maint.exe" /Uninstall C:\Programme\Canon\Canon Setup Utility 2.0\uninst.ini
Canon Utilities Easy-PhotoPrint --> C:\Programme\Canon\Easy-PhotoPrint\uninst.exe uninst.ini
Canon Utilities Easy-PrintToolBox --> C:\WINNT\BJPSUNST.EXE
CanoScan LiDE20,30 Manual --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B360A8E5-C171-4AAE-9777-65B3CDB0072C}\setup.exe" -l0x7
CD-LabelPrint --> "C:\Programme\Canon\CD-LabelPrint\Uninstal.exe" Canon.CDLabelPrint.Application
Command & Conquer Teil 3: Operation Tiberian Sun --> C:\Westwood\SUN\Uninstll.EXE
Counter-Strike: Source --> MsiExec.exe /I{9580813D-94B1-4C28-9426-A441E2BB29A5}
Creative-Audiokonsole --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{17E96A7F-AFE3-4171-87B1-583E376319E8}\setup.exe" -l0x7 /remove
Creative-Systeminformationen --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{63A317D0-60A6-43FC-848A-9FE4A53B29CE}\setup.exe" -l0x7 /remove
Creative MediaSource --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2E0C1913-886B-4C5C-8DAF-D1E649CE5FCC}\SETUP.EXE" -l0x7 /remove
Datenbank --> C:\WINNT\unin0407.exe -fC:\Programme\TaylorCom\Datenbank\DeIsL1.isu -cC:\Programme\TaylorCom\Datenbank\_ISREG32.DLL
Der Polarexpress --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{4834AF50-6C57-4E7F-9BA7-39E193EA543D} /l1031
DIALit --> C:\Programme\InstallShield Installation Information\{22100E84-8C7B-462B-B0C5-AFAF5A9EE08B}\setup.exe -runfromtemp -l0x0007 -removeonly
DIALit C3000-CTI Client --> C:\DPOOL32\setup.exe /deinstall
Direct Show Ogg Vorbis Filter (remove only) --> "C:\WINNT\system32\OggDSuninst.exe"
DriverAgent Plugin for Netscape by TouchStone Software --> RunDll32.exe advpack.dll,LaunchINFSection driveragent_np.inf,TVICHW32Remove
Easy-WebPrint --> C:\WINNT\IsUn0407.exe -fC:\Programme\Canon\Easy-WebPrint\Uninst.isu
EAX4 Unified Redist --> MsiExec.exe /X{89661B04-C646-4412-B6D3-5E19F02F1F37}
ElsterFormular 2004/2005 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{03EB79B7-2152-4C98-AEA0-254F881A3275}\setup.exe" -l0x7 -removeonly
ElsterFormular 2006/2007 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}\setup.exe" -l0x7 -removeonly
ElsterFormular 2007/2008 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}\setup.exe" -l0x7 -removeonly
English Coach Go Ahead 5 --> C:\WINNT\unin0407.exe -fC:\CSOFT\ECMM\GA5\DeIsL1.isu
EVEREST Home Edition v2.20 --> "C:\Programme\Lavalys\EVEREST Home Edition\unins000.exe"
Fastream IQ Reverse Proxy --> C:\PROGRA~1\FASTRE~1\UNWISE.EXE C:\PROGRA~1\FASTRE~1\INSTALLENGINE.LOG
Fastream IQ Reverse Proxy GUI --> C:\PROGRA~1\FASTRE~2\UNWISE.EXE C:\PROGRA~1\FASTRE~2\INSTALLGUI.LOG
FileZilla (remove only) --> "C:\Programme\FileZilla\uninstall.exe"
Flashpoint uninstall --> C:\Program Files\Codemasters\UnInstall.exe
GDIPlus --> MsiExec.exe /I{F1535F4A-F1F9-4403-94F5-F6DD2D5315BC}
Google SketchUp 6 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{98736A65-3C79-49EC-B7E9-A3C77774B0E6}\setup.exe" -l0x7 -removeonly
Google SketchUp 6 Exporters --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EB459C2F-41CA-4222-B9CA-F8EBA40B8DAB}\setup.exe" -l0x7 -removeonly
Google SketchUp LayOut 6 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C12D609B-EB71-411B-82C3-9BE6D40435D7}\setup.exe" -l0x7 -removeonly
Google SketchUp Pro 6 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{12E75B98-8463-4C1F-8DDA-F6CF31566A55}\setup.exe" -l0x7 -removeonly
Google Toolbar for Internet Explorer --> regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
GT Interactive - Driver --> C:\WINNT\IsUn0407.exe -f"C:\Programme\GT Interactive\Driver\Uninst.isu"
GTK+ 2.6.9 runtime environment --> "C:\Programme\Gemeinsame Dateien\GTK\2.0\unins000.exe"
Half-Life Dedicated Server Update Tool --> C:\PROGRA~1\Valve\HLServer\UNWISE.EXE C:\PROGRA~1\Valve\HLServer\INSTALL.LOG
Haufe iDesk-Browser --> MsiExec.exe /X{A1B80495-4ED3-4ED0-BD57-7F9E0A0EDF35}
Haufe iDesk-Service --> MsiExec.exe /X{E706D4DA-8463-412A-BEF7-A63D1A72CED8}
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
HLSW v1.1.0 --> "C:\Programme\HLSW\unins000.exe"
Hotfix for MDAC 2.53 (KB911562) --> "C:\WINNT\$SQLUninstallMDAC25SP3-KB911562-x86-DEU$\spuninst\spuninst.exe"
Hotfix for MDAC 2.53 (KB927779) --> "C:\WINNT\$SQLUninstallMDAC25SP3-KB927779-x86-DEU$\spuninst\spuninst.exe"
ICQ6 --> C:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe -runfromtemp -l0x0009 -removeonly
Illarion Client --> C:\WINNT\system32\javaws.exe -uninstall "http://download.illarion.org/illarion_client.jnlp"
InstallRTC --> MsiExec.exe /X{200F584F-848D-4B6B-B1A1-C74D735F18A4}
IPIX Netscape Plugin Viewer --> C:\WINNT\Unwise.exe /a C:\WINNT\IPIXNets.log
J2SE Runtime Environment 5.0 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150060}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) 6 Update 5 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050}
Lexware buchhalter plus 2007 --> C:\Programme\InstallShield Installation Information\{09E3A2B0-6816-485B-9E40-FE46F72AA8E8}\setup.exe -runfromtemp -l0x0007 -removeonly
Lexware know how buchhaltung --> MsiExec.exe /X{A9265D9D-680D-4AB2-ADBE-A14F74B257A8}
Logitech Gaming Software --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B9242864-2841-4ADE-86E0-8F90F91B04DD}\setup.exe" -l0x7
MAGIX Online Druck Service 2.3.2.0 (D) --> C:\Programme\MAGIX\Online_Druck_Service\instslct.exe /p
MAGIX PC Visit --> C:\Programme\MAGIX\PCVisit\instslct.exe /p
MAGIX Video deluxe 2008 Trial 7.5.1.6 (D) --> C:\Programme\MAGIX\Video_deluxe_2008_e-version\instslct.exe /p
MaSt's DHTML-Menü Designer 1.0 --> C:\WINNT\uninstall\MaSt's DHTML-Menü Designer\setup.exe
Meine CeWe Fotowelt --> "C:\Programme\CeWe Color\Meine CeWe Fotowelt\uninstall.exe"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINNT\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office 2000 Premium --> MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINNT\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Mozilla Firefox (2.0.0.14) --> C:\Programme\Mozilla Firefox\uninstall\helper.exe
MSI Wireles LAN-Karte --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FCD71234-2287-41D2-96AD-3D3C66D60FBC}\setup.exe" -l0x7 -removeonly
MSN Messenger 7.0 --> MsiExec.exe /I{ABEB838C-A1A7-4C5D-B7E1-8B4314600820}
Multimedia Fusion 2 Demo --> C:\Programme\Multimedia Fusion 2\UninstMMF2.exe
Nero Media Player --> C:\WINNT\UNNMP.exe /UNINSTALL
Nero OEM --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2 SE --> C:\WINNT\UNNeroVision.exe /UNINSTALL
Nikon FotoShare --> C:\Programme\Nikon\FotoShare\Uninstal.exe C:\PROGRA~1\Nikon\FOTOSH~1\INSTALL.LOG
Nikon Message Center --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D2FCC1AE-6311-47C5-8130-C6C66D77DD71}\Setup.exe" -l0x7 UNINSTALL
OpenAL --> "C:\Programme\OpenAL\oalinst.exe" /U
Personal ID --> "C:\Programme\coolspot AG\Personal ID\pid.exe" -su
PictureProject --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FF3999BE-1A7B-4738-88AA-97BF14094A4A}\Setup.exe" -l0x7 UNINSTALL
Pizza Connection 2 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DA47ABC4-52DF-468D-988D-B9E768A3DF52}\setup.exe"
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
Prevx CSI --> "C:\Programme\PrevxCSI\prevxcsi.exe" /prop UNINSTALL=Y
QIP 2005 Uninstall --> "C:\Programme\QIP\unqip.exe"
QuickTime --> MsiExec.exe /I{55BF0E5F-EA8E-4C13-A8B4-9E4857F5A2DE}
Real Alternative 1.52 --> "C:\Programme\Real Alternative\unins000.exe"
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Rechnungsmanager --> C:\WINNT\snui.exe /uninstall:"Rechnungsmanager"

stYle345 24.05.2008 23:20
RTP 1.32 Add-On for RM2k --> C:\WINNT\UnGins.exe "C:\Programme\ASCII\RPG2000\RTP\RTP\install.log"
Sapphire TRIXX --> "C:\Programme\TRIXX\Uninstall.exe"
Secret City --> "C:\Programme\Secret City\Secret City\Uninstall.exe" "C:\Programme\Secret City\Secret City\install.log" -u
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINNT\$NtUninstallKB941569$\spuninst\spuninst.exe"
SolveigMM AVI Trimmer --> "C:\Programme\Solveig Multimedia\SolveigMM AVI Trimmer\Uninstall.exe" "C:\Programme\Solveig Multimedia\SolveigMM AVI Trimmer\install.log" -u
Sound Blaster X-Fi --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{18F11181-EA1A-42AE-AF89-4867C7F7A6FA}\SETUP.EXE" -l0x7 /remove
Source Dedicated Server --> "C:\Programme\Steam\steam.exe" steam://uninstall/205
Spyware Doctor 5.5 --> C:\Programme\Spyware Doctor\unins000.exe /LOG
Steam(TM) --> MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Stronghold --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C917BA70-28A3-4C74-B163-41FD8C8E1A5A}\setup.exe"
Stronghold Crusader Mehrspieler-Demo --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EDF89039-4925-43DC-8268-2800CF0A0AA1}\Setup.exe"
Stronghold Legends Demo --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{4CD56F64-841F-447C-91DF-DDCF283D55BD}\setup.exe" -l0x9 -removeonly
sv.net --> C:\PROGRA~1\svnet\UNWISE.EXE C:\PROGRA~1\svnet\INSTALL.LOG
TaylorCom Software 3000 --> "C:\LAG3000\SETUP\setup.exe" /u
TeamSpeak 2 RC2 --> C:\Programme\Teamspeak2_RC2\unins000.exe
Ten Thumbs 4.3.1 --> MsiExec.exe /I{68F54760-76E1-4067-B7D7-01F787AB0AA0}
TES Construction Set --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\Bethesda Softworks\Morrowind\CSUninstall\Setup.exe" -l0x7
The GIMP 2.2.9 --> "C:\Programme\GIMP-2.0\unins000.exe"
Web Update Wizard (Redistributable) 4.0 --> C:\WINNT\system32\wuwuninst.exe
Windows Defender --> MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Media Format 11 runtime --> "C:\WINNT\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP Service Pack 3 --> "C:\WINNT\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR archiver --> C:\Programme\WinRAR\uninstall.exe
WolfQuest --> MsiExec.exe /X{6B7F486B-5F97-403B-949C-3C8A6D33BA37}
Yahoo! Extras --> C:\PROGRA~1\Yahoo!\Common\unyext.exe
Yahoo! Install Manager --> C:\WINNT\system32\regsvr32 /u C:\PROGRA~1\Yahoo!\Common\YINSTH~1.DLL
Yahoo! Internet Mail --> C:\WINNT\system32\regsvr32 /u /s C:\PROGRA~1\Yahoo!\Common\ymmapi.dll
Yahoo! Mail Quickauswahl-Tool (FotoMail) --> C:\PROGRA~1\Yahoo!\Common\unymb.exe
Yahoo! Messenger --> C:\PROGRA~1\Yahoo!\MESSEN~1\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\MESSEN~1\INSTALL.LOG


-- Application Event Log -------------------------------------------------------

Event Record #/Type217529 / Error
Event Submitted/Written: 05/25/2008 00:04:51 AM
Event ID/Source: 8 / crypt32
Event Description:
Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer von <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben.
.

Event Record #/Type217528 / Error
Event Submitted/Written: 05/24/2008 11:55:07 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung , Version 0.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
Das medienspezifische Ereignis für [!ws!] wird verarbeitet.

Event Record #/Type217527 / Warning
Event Submitted/Written: 05/24/2008 11:54:59 PM
Event ID/Source: 32068 / Microsoft Fax
Event Description:
Die ausgehende Verteilerregel ist nicht gültig, weil kein gültiges Gerät gefunden werden kann. Ausgehende Faxe, die diese Regel verwenden, werden nicht weitergeleitet. Stellen Sie sicher, dass das angezielte Gerät bzw. die angezielten Geräte angeschlossen, korrekt installiert und angeschaltet sind. Stellen Sie außerdem sicher, dass die Gruppe korrekt konfiguriert ist, falls die Weiterleitung an eine Gruppe von Geräten erfolgen soll.
Landes-/Regionskennzahl: "*"
Ortskennzahl: "*"

Event Record #/Type217526 / Warning
Event Submitted/Written: 05/24/2008 11:54:59 PM
Event ID/Source: 32026 / Microsoft Fax
Event Description:
Fehler beim Initialisieren der zugewiesenen Faxgeräte (virtuell oder TAPI) durch den Faxdienst.
Es können keine Faxe gesendet werden, bis ein Faxgerät installiert ist.

Event Record #/Type217520 / Warning
Event Submitted/Written: 05/24/2008 11:04:12 PM
Event ID/Source: 1524 / Userenv
Event Description:
Die Klassenregistrierungsdatei kann nicht entladen werden, da sie weiterhin von anderen Anwendungen bzw. Diensten verwendet wird. Die Datei wird entladen, wenn sie nicht mehr verwendet wird.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type5091 / Warning
Event Submitted/Written: 05/25/2008 00:04:57 AM
Event ID/Source: 3004 / WinDefend
Event Description:
%AMD-XP320027 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. %AMD-XP320027 can't undo changes that you allow.

For more information please see the following:
%AMD-XP3200275

Scan ID: {8BE01CAF-88F6-4E39-B1AC-4112552356D8}

User: AMD-XP3200\Thomas Poppe

Name: %AMD-XP3200271

ID: %AMD-XP3200272

Severity: 1.1.1593.05

Category: 1.1.1593.06

Path Found: %AMD-XP3200276

Alert Type: %AMD-XP3200278

Detection Type: 1.1.1593.02

Event Record #/Type5090 / Warning
Event Submitted/Written: 05/25/2008 00:04:57 AM
Event ID/Source: 3004 / WinDefend
Event Description:
%AMD-XP320027 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. %AMD-XP320027 can't undo changes that you allow.

For more information please see the following:
%AMD-XP3200275

Scan ID: {172FD160-9104-4961-93E6-90E3DFE0BD78}

User: AMD-XP3200\Thomas Poppe

Name: %AMD-XP3200271

ID: %AMD-XP3200272

Severity: 1.1.1593.05

Category: 1.1.1593.06

Path Found: %AMD-XP3200276

Alert Type: %AMD-XP3200278

Detection Type: 1.1.1593.02

Event Record #/Type5089 / Warning
Event Submitted/Written: 05/25/2008 00:04:57 AM
Event ID/Source: 3004 / WinDefend
Event Description:
%AMD-XP320027 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. %AMD-XP320027 can't undo changes that you allow.

For more information please see the following:
%AMD-XP3200275

Scan ID: {3F203782-8466-4C0B-9E20-6F323077EB9D}

User: AMD-XP3200\Thomas Poppe

Name: %AMD-XP3200271

ID: %AMD-XP3200272

Severity: 1.1.1593.05

Category: 1.1.1593.06

Path Found: %AMD-XP3200276

Alert Type: %AMD-XP3200278

Detection Type: 1.1.1593.02

Event Record #/Type5088 / Warning
Event Submitted/Written: 05/25/2008 00:04:54 AM
Event ID/Source: 3004 / WinDefend
Event Description:
%AMD-XP320027 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. %AMD-XP320027 can't undo changes that you allow.

For more information please see the following:
%AMD-XP3200275

Scan ID: {1BD38F43-9878-425A-B073-10D6DFAD08BA}

User: AMD-XP3200\Thomas Poppe

Name: %AMD-XP3200271

ID: %AMD-XP3200272

Severity: 1.1.1593.05

Category: 1.1.1593.06

Path Found: %AMD-XP3200276

Alert Type: %AMD-XP3200278

Detection Type: 1.1.1593.02

Event Record #/Type5087 / Warning
Event Submitted/Written: 05/25/2008 00:04:54 AM
Event ID/Source: 3004 / WinDefend
Event Description:
%AMD-XP320027 Real-Time Protection agent has detected changes. Microsoft recommends you analyze the software that made these changes for potential risks. You can use information about how these programs operate to choose whether to allow them to run or remove them from your computer. Allow changes only if you trust the program or the software publisher. %AMD-XP320027 can't undo changes that you allow.

For more information please see the following:
%AMD-XP3200275

Scan ID: {5663E92A-196C-4AE8-97BC-EB7B8225882E}

User: AMD-XP3200\Thomas Poppe

Name: %AMD-XP3200271

ID: %AMD-XP3200272

Severity: 1.1.1593.05

Category: 1.1.1593.06

Path Found: %AMD-XP3200276

Alert Type: %AMD-XP3200278

Detection Type: 1.1.1593.02



-- End of Deckard's System Scanner: finished at 2008-05-25 00:07:36 ------------

stYle345 25.05.2008 10:02
yo hab ja nachts die scan ergebnisse gepostet und wollt fragen wer/ob die jemand schon ausgewertet hat.

greeZ

schrauber 25.05.2008 10:49
hi,

immernoch nicht wirklich was zu sehen, ausser den bekannten ordnern, die escan anlegt.

bitte mach mal den kaspersky onlinescan,den KarlKarl dir oben schon verlinkt hat.

gruß


schrauber

stYle345 25.05.2008 13:43
Hey,

hier die Scan ergebnisse von kaspersky:


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 25. Mai 2008 14:33:06
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 25/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 800151
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 199524
Viren gefunden: 5
Infizierte Objekte gefunden: 6
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:57:00

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-05192008-194058.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Eigene Dateien\ICQ Lite\313557760\MW(KOP)_228242450\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{B8B87D89-D09A-467A-9A45-079F758A2988} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008052520080526\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Eigene Dateien\ICQ Lite\************\MW(KOP)_************\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.b übersprungen
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.g übersprungen
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.f übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP10\A0008905.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PWInspector.b übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP20\change.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.



Memory Scan:


Keine Viren

stYle345 25.05.2008 13:47
und hier noch die Ergebnisse von "Wichtige Objekte"

Wichtige Objekte
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 25. Mai 2008 12:33:43
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 25/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 800151
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINNT
C:\DOKUME~1\******~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 23533
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:18:23

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

schrauber 25.05.2008 22:01
hast du eine ahnung was das hier ist? hast du da was entgegengenommen über icq?

Zitat:
C:\Eigene Dateien\ICQ Lite\************\MW(KOP)_************\;-).vbs
wenn du das nicht kennst,löschen und den papierkorb leeren.

schau mal bei systemsteuerung-software nach, ob du die "myway" toolbar findest, und deinstallier sie komplett, am besten die rx-toolbar auch gleich runter.

dann lad dir den Ccleaner,installiere ihn,klicke die toolbar weg, und lass temp-dateien und registry bereinigen.

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

so, danach den onlinescan wiederholen, und zwar den ganzen arbeitsplatz scannen lassen.


gruß

schrauber

stYle345 26.05.2008 14:58
hay,

C:\Eigene Dateien\ICQ Lite\************\MW(KOP)_************\;-).vbs war son script.. hab ich schon gelöscht jetz.


diese RX toolbar kann ich nich unter software finden weder noch bei "suchen nach dateien und ordnern"

eine frage zum register cleaner.. löscht der i-was wichtiges vom pc ?? kenn mich da net so aus mit dem programm. hab da immer anqst das da was glöscht wird un so^^


greeZ

schrauber 26.05.2008 15:11
http://www.trojaner-board.de/51464-a...tml#post339309

hier ne schöne anleitung zum ccleaner, registry kannst du ohne probleme bereinigen lassen, es werden nur unnötige und alte sachen gelöscht. wenn du angst haben solltest, bietet dir der ccleaner automatisch die möglichkeit, die registry vorm bereinigen zu sichern, um diese evtl später wiederherzustellen.


gruß

schrauber

stYle345 26.05.2008 15:15
kay werdsh jetz glei ma machen

greeZ

stYle345 26.05.2008 15:33
so hab jetz die 2022 fehler in registry löschen lassen un mit dem cleaner 900 MB gelöscht. was soll ich jetz tun? und für was is "systemwiederherstellung deaktivieren" gut? nach dieser systemwiederherstellung den online scan mach ich später.

greeZ

cosinus 26.05.2008 15:55
Zitat:
Zitat von stYle345 (Beitrag 341383)
und für was is "systemwiederherstellung deaktivieren" gut? nach dieser systemwiederherstellung den online scan mach ich später.

greeZ
Wenn Dein System infiziert ist und in diesem Zustand ein Systemwiederherstellungspunkt erstellt wird, landen auch automatisch die Virendateien da drin. Würdest Du so einen Punkt zur Systemwiederherstellung nutzen, hättest Du gleich wieder ein infiziertes System - von daher sind von nun an alle Systemwiederherstellungspunkte unbrauchbar und sollten gelöscht werden.

Klar soweit?

Erstell doch auch mal ein Logfile mit silentrunners. Poste das Logfile mit [code] tags umschlossen!

stYle345 26.05.2008 15:59
kay ich mach nachher des systemwiederherstellungspunkt un danach kaspersky online scan. dann wiederrum die logfile mit silentunners.
muss jetz nur ma weq mach ich später oder morgen ... thx schunmal

greeZ

stYle345 29.05.2008 17:05
hey,

hab das mitm cc cleaner gemacht un nachm neustart war er um einiges schneller un sound geht jetz au. außerdem kommt diese fehlermeldung " generci host process for win32 services" nicht mehr.

ich habe mit anti vir scan gemacht aber nix gefunden. ich denke es passt jetz wieder.

thx für eure hilfe :daumenhoc wenn ich kaspersky online scan machen werde, meld ich mich nomal

greeZ

cosinus 29.05.2008 21:55
Silentrunners fehlt aber noch! :balla:

stYle345 31.05.2008 15:14
Hey, hier des von Silentrunners:


"Silent Runners.vbs", revision 58, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Creative Detector" = "C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R" ["Creative Technology Ltd"]
"CTFMON.EXE" = "C:\WINNT\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UpdReg" = "C:\WINNT\UpdReg.EXE" ["Creative Technology Ltd."]
"TRIXX" = ""C:\Programme\TRIXX\TRIXX.exe" -s" ["Sapphire Technologies"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"]
"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"AGEIA PhysX SysTray" = "C:\Programme\AGEIA Technologies\TrayIcon.exe" [null data]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" ["Advanced Micro Devices, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"CTxfiHlp" = "CTXFIHLP.EXE" ["Creative Technology Ltd"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{3049C3E9-B461-4BC5-8870-4C09146192CA}\(Default) = (no title provided)
-> {HKLM...CLSID} = "RealPlayer Download and Record Plugin for Internet Explorer"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll" ["RealPlayer"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5b4dae26-b807-11d0-9815-00c04fd91972}" = "Menu Band"
-> {HKLM...CLSID} = "Menüband"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{8278F931-2A3E-11d2-838F-00C04FD918D0}" = "Tracking Shell Menu"
-> {HKLM...CLSID} = "Tracking Shell Menu"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}" = "Menu Site"
-> {HKLM...CLSID} = "Menu Site"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}" = "Menu Desk Bar"
-> {HKLM...CLSID} = "Menu Desk Bar"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}" = "IShellFolderBand"
-> {HKLM...CLSID} = "IShellFolderBand"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}" = "&Links"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{7487cd30-f71a-11d0-9ea7-00805f714772}" = "Thumbnail Image"
-> {HKLM...CLSID} = "Background Thumbnail Generator"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{450D8FBA-AD25-11D0-98A8-0800361B1103}" = "MyDocs Folder"
-> {HKLM...CLSID} = "Eigene Dateien"
\InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MI1933~1\Office\OLKFSTUB.DLL" [MS]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINNT\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINNT\System32\dimsntfy.dll" [MS]
<<!>> wzcnotif\DLLName = "wzcdlg.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
-> {HKLM...CLSID} = "YMailShellExt Class"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"EnableLUA" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\system32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINNT\system32\WPDShextAutoplay.exe" [MS]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
-> {HKLM...CLSID} = "RealNetworks Scheduler"
\LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /autoplay "%1"" ["RealNetworks, Inc."]


Startup items in "Thomas Poppe" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Lexware Info Service" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart" [null data]
"MSI Wireless Utility" -> shortcut to: "C:\Programme\MSI\Common\RaUI.exe -s" ["MSI Technology, Corp."]
"NkbMonitor.exe" -> shortcut to: "C:\Programme\Nikon\PictureProject\NkbMonitor.exe" ["Nikon Corporation"]


Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Messenger"
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\
"ButtonText" = "Messenger"
"MenuText" = "Yahoo! Messenger"
"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

{D401C3A2-12EF-4D1D-A086-F3AB10B565BF}\
"ButtonText" = "Secret City"
"Exec" = "C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE" [null data]

{D9288080-1BAA-4BC4-9CF8-A92D743DB949}\
"ButtonText" = "Run IMVU"
"Exec" = "C:\Dokumente und Einstellungen\Thomas Poppe\Startmenü\Programme\IMVU\Run IMVU.lnk" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Creative Audio Service, CTAudSvcService, "C:\Programme\Creative\Shared Files\CTAudSvc.exe" ["Creative Technology Ltd"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINNT\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
CSIScanner, CSIScanner, ""C:\Programme\PrevxCSI\prevxcsi.exe" /service" ["Prevx"]
Fastream IQ Reverse Proxy Engine, IQService, "C:\PROGRA~1\FASTRE~1\IQEngine.exe" ["Fastream Technologies"]
Web Update Wizard Service V4, WebUpdate4, "C:\WINNT\system32\WebUpdateSvc4.exe" ["Data Perceptions / PowerProgrammer"]
Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i350\Driver = "CNMLM53.DLL" ["CANON INC."]
Canon BJ Language Monitor iP4200\Driver = "CNMLM78.DLL" ["CANON INC."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2008-05-31 12:58:14)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 42 seconds, including 11 seconds for message boxes)

stYle345 31.05.2008 15:16
Nochmal Kaspersky:

Bei Memory Scan >> Keine Infezierungen

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 13:46:00
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 817838
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINNT
C:\DOKUME~1\******~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24122
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:21:17

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

stYle345 31.05.2008 15:17
Kaspersky 2: Laufwerke

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 16:11:42
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 817838
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 167605
Viren gefunden: 5
Infizierte Objekte gefunden: 5
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:11:37

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-05192008-194058.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{B9625E3A-FC76-4086-BC92-59F56795C1A8} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008053120080601\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\************\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Eigene Dateien\ICQ Lite\313557760\MW(KOP)_228242450\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.b übersprungen
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.g übersprungen
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.f übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP10\A0008905.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PWInspector.b übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP31\change.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINNT\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINNT\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

stYle345 31.05.2008 15:23
C:\Eigene Dateien\ICQ Lite\313557760\MW(KOP)_228242450\;-).vbs Infizierte Objekte: Trojan.VBS.CDJack.a übersprungen
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.b übersprungen
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.g übersprungen
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL Infizierte Objekte: not-a-virus:AdWare.Win32.MyWay.f übersprungen



hab ich jetz manuell gelöscht

nur was ist des?: C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP10\A0008905.exe Infizierte Objekte: not-a-virus:PSWTool.Win32.PWInspector.b übersprungen

schrauber 31.05.2008 15:35
Zitat:
Zitat von schrauber26 (Beitrag 341269)
hast du eine ahnung was das hier ist? hast du da was entgegengenommen über icq?



wenn du das nicht kennst,löschen und den papierkorb leeren.

schau mal bei systemsteuerung-software nach, ob du die "myway" toolbar findest, und deinstallier sie komplett, am besten die rx-toolbar auch gleich runter.

dann lad dir den Ccleaner,installiere ihn,klicke die toolbar weg, und lass temp-dateien und registry bereinigen.

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

so, danach den onlinescan wiederholen, und zwar den ganzen arbeitsplatz scannen lassen.


gruß

schrauber
hattest du das alles gemacht?? denn dann dürfte in der systemwiederherstellung nix mehr sein.

schrauber 31.05.2008 15:37
hast du die myway-toolbar deinstalliert?

stYle345 31.05.2008 15:53
neh ich hab das mit systemwiederherstellung net gmacht.. die my toolbar da is gelöscht un dees icq dinqs au des war nur son fun script


hab des jetz mit systemweider... gmacht un werd jetz 2. scan machn

schrauber 31.05.2008 15:56
lösch bitte noch den kompletten programmordner der toolbar. und dann schauen wir mal was root24 mit dem silentrunner-log anfangen kann.

gruß

schrauber

stYle345 31.05.2008 18:22
sodala noma :





-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 17:18:19
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 818172
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINNT
C:\DOKUME~1\******~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 24134
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:22:11

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

stYle345 31.05.2008 18:23
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 31. Mai 2008 19:19:40
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 31/05/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 818172
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 151372
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:46:26

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-05192008-194058.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{C61C1CA8-77FD-44CB-9B98-A0CBAE613ADF} Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008053120080601\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***********\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{9326E785-4827-44B6-B8C3-D4D4D76918CF}\RP32\change.log Das Objekt ist gesperrt übersprungen
C:\WINNT\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINNT\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINNT\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINNT\wiaservc.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

schrauber 31.05.2008 21:42
das schaut schon gut aus,mal sehen was root24 zum silentrunner sagt.
sorry aber das programm zählt nicht zu denen,mit denen ich häufiger arbeite.

gruß

schrauber

stYle345 02.06.2008 12:17
hab noch was entdeckt.. macnhmal geht der sound ja nicht. im gerätemanager is bei " PCI Device " nen gelbes fragezeichen. was hat das zu bedeuten=?

schrauber 02.06.2008 16:52
mach einen rechtsklick auf den device > treiber aktualisieren > und mit internet verbinden erlauben. dir fehlt da ein treiber,dieser wird über o.g. weg gesucht und installiert. führt dies nicht zum erfolg müssen wir weitersehen.

gruß

schrauber

stYle345 04.06.2008 12:24
hab das mitm inet verbinden un so versucht aber dann kam "hardwareinstallation fehlgeschlagen" , da die software nicht installiert ist.. kp was des is .. is vill onboard sound an? oder sollsh die soundkarte noma neu installen?


greeZ

schrauber 04.06.2008 16:56
wenn du ne cd hast installier sie neu,bzw mach obigen weg nochmal,aber leg vorher die cd ein,vielleicht kommt windows selbst auf die idee auf der cd zu suchen.

stYle345 04.06.2008 17:19
was für ne cd meinste?

schrauber 04.06.2008 17:38
installations-cd der soundkarte,wenn vorhanden

stYle345 14.06.2008 08:31
hab probiert hat aber au net gefunzt..

wir hattn ja shun für graka, soundkarte usw. die neusten treiber draufgespielt.

ich hab in nem forum gelesen das pci device au der onboard sound sein kann?

greeZ

cosinus 16.06.2008 18:26
Sry, irgendwie ist bei mir Dein Strang - und somit Dein silentrunners Logfile - voll untergegangen... könntest Du mal eines aktuelles erstellen und mit Code-tags umschlossen posten?!

stYle345 17.06.2008 11:42
Code:
"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Creative Detector" = "C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R" ["Creative Technology Ltd"]
"CTFMON.EXE" = "C:\WINNT\system32\ctfmon.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"UpdReg" = "C:\WINNT\UpdReg.EXE" ["Creative Technology Ltd."]
"TRIXX" = ""C:\Programme\TRIXX\TRIXX.exe" -s" ["Sapphire Technologies"]
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"]
"ISUSPM Startup" = "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup" ["InstallShield Software Corporation"]
"Easy-PrintToolBox" = "C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon" ["CANON INC."]
"ATIPTA" = ""C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"" ["ATI Technologies, Inc."]
"AGEIA PhysX SysTray" = "C:\Programme\AGEIA Technologies\TrayIcon.exe" [null data]
"StartCCC" = ""C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"" ["Advanced Micro Devices, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot" ["RealNetworks, Inc."]
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"CTxfiHlp" = "CTXFIHLP.EXE" ["Creative Technology Ltd"]
"UserFaultCheck" = "C:\WINNT\system32\dumprep 0 -u"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{3049C3E9-B461-4BC5-8870-4C09146192CA}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "RealPlayer Download and Record Plugin for Internet Explorer"
                  \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll" ["RealPlayer"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
                  \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                  \InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{5b4dae26-b807-11d0-9815-00c04fd91972}" = "Menu Band"
  -> {HKLM...CLSID} = "Menüband"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{8278F931-2A3E-11d2-838F-00C04FD918D0}" = "Tracking Shell Menu"
  -> {HKLM...CLSID} = "Tracking Shell Menu"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{E13EF4E4-D2F2-11d0-9816-00C04FD91972}" = "Menu Site"
  -> {HKLM...CLSID} = "Menu Site"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{ECD4FC4F-521C-11D0-B792-00A0C90312E1}" = "Menu Desk Bar"
  -> {HKLM...CLSID} = "Menu Desk Bar"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{D82BE2B0-5764-11D0-A96E-00C04FD705A2}" = "IShellFolderBand"
  -> {HKLM...CLSID} = "IShellFolderBand"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0E5CBF21-D15F-11d0-8301-00AA005B4383}" = "&Links"
  -> {HKLM...CLSID} = "&Links"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{7487cd30-f71a-11d0-9ea7-00805f714772}" = "Thumbnail Image"
  -> {HKLM...CLSID} = "Background Thumbnail Generator"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{450D8FBA-AD25-11D0-98A8-0800361B1103}" = "MyDocs Folder"
  -> {HKLM...CLSID} = "Eigene Dateien"
                  \InProcServer32\(Default) = "C:\WINNT\system32\SHELL32.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                  \InProcServer32\(Default) = "C:\PROGRA~1\MI1933~1\Office\OLKFSTUB.DLL" [MS]
"{5464D816-CF16-4784-B9F3-75C0DB52B499}" = "Yahoo! Mail"
  -> {HKLM...CLSID} = "YMailShellExt Class"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
  -> {HKLM...CLSID} = "SimpleShlExt Class"
                  \InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                  \InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware"
  -> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
                  \InProcServer32\(Default) = "C:\PROGRA~1\WIFD1F~1\MpShHook.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
  -> {HKLM...CLSID} = "WPDShServiceObj Class"
                  \InProcServer32\(Default) = "C:\WINNT\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> dimsntfy\DLLName = "C:\WINNT\System32\dimsntfy.dll" [MS]
<<!>> wzcnotif\DLLName = "wzcdlg.dll" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
Yahoo! Mail\(Default) = "{5464D816-CF16-4784-B9F3-75C0DB52B499}"
  -> {HKLM...CLSID} = "YMailShellExt Class"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\ymmapi.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"CDRAutoRun" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"EnableLUA" = (REG_DWORD) dword:0x00000000
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
User Account Control: Run All Administrators In Admin Approval Mode}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINNT\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\System32\sstext3d.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
  -> {HKLM...CLSID} = "WPDShextAutoplay"
                  \LocalServer32\(Default) = "C:\WINNT\system32\WPDShextAutoplay.exe" [MS]

RPCDBurningOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.CDBurn.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /burn "%1"" ["RealNetworks, Inc."]

RPDeviceOnArrival\
"Provider" = "RealPlayer"
"ProgID" = "RealPlayer.HWEventHandler"
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"
  -> {HKLM...CLSID} = "RealNetworks Scheduler"
                  \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]

RPPlayCDAudioOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AudioCD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /play %1 " ["RealNetworks, Inc."]

RPPlayDVDMovieOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.DVD.6"
"InvokeVerb" = "play"
HKCU\Software\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe"  /dvd %1 " ["RealNetworks, Inc."]

RPPlayMediaOnArrival\
"Provider" = "RealPlayer"
"InvokeProgID" = "RealPlayer.AutoPlay.6"
"InvokeVerb" = "open"
HKCU\Software\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = ""C:\Program Files\Real\RealPlayer\RealPlay.exe" /autoplay "%1"" ["RealNetworks, Inc."]


Startup items in "Thomas Poppe" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"Lexware Info Service" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart" [null data]
"MSI Wireless Utility" -> shortcut to: "C:\Programme\MSI\Common\RaUI.exe -s" ["MSI Technology, Corp."]
"NkbMonitor.exe" -> shortcut to: "C:\Programme\Nikon\PictureProject\NkbMonitor.exe" ["Nikon Corporation"]


Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
  -> {HKLM...CLSID} = "Easy-WebPrint"
                  \InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "&Yahoo! Messenger"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\
{4528BBE0-4E08-11D5-AD55-00010333D0AD}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "&Yahoo! Messenger"
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{4528BBE0-4E08-11D5-AD55-00010333D0AD}\
"ButtonText" = "Messenger"
"MenuText" = "Yahoo! Messenger"
"CLSIDExtension" = "{4C171D40-8277-11D5-AD55-00010333D0AD}"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll" ["Yahoo! Inc."]

{D401C3A2-12EF-4D1D-A086-F3AB10B565BF}\
"ButtonText" = "Secret City"
"Exec" = "C:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE" [file not found]

{D9288080-1BAA-4BC4-9CF8-A92D743DB949}\
"ButtonText" = "Run IMVU"
"Exec" = "C:\Dokumente und Einstellungen\Thomas Poppe\Startmenü\Programme\IMVU\Run IMVU.lnk" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Avira AntiVir Personal – Free Antivirus Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
Avira AntiVir Personal – Free Antivirus Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Creative Audio Service, CTAudSvcService, "C:\Programme\Creative\Shared Files\CTAudSvc.exe" ["Creative Technology Ltd"]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINNT\system32\CTsvcCDA.EXE" ["Creative Technology Ltd"]
CSIScanner, CSIScanner, ""C:\Programme\PrevxCSI\prevxcsi.exe" /service" ["Prevx"]
Fastream IQ Reverse Proxy Engine, IQService, "C:\PROGRA~1\FASTRE~1\IQEngine.exe" ["Fastream Technologies"]
Web Update Wizard Service V4, WebUpdate4, "C:\WINNT\system32\WebUpdateSvc4.exe" ["Data Perceptions / PowerProgrammer"]
Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i350\Driver = "CNMLM53.DLL" ["CANON INC."]
Canon BJ Language Monitor iP4200\Driver = "CNMLM78.DLL" ["CANON INC."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2008-06-17 12:39:19)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 53 seconds, including 11 seconds for message boxes)

cosinus 17.06.2008 13:41
Das silentrunners Logfile ist okay. :party:
Wegen Deiner Soundkarte: Isses ein Onboard-Device, wird sich der treiber vermutlich auf der CD befinden, der bei dem PC bzw. dem Mainboard dabei lag. Nimm ggf. das Handbuch zur Hilfe. :rolleyes:
In den meisten Fällen ist ein Onboard-Sound von Realtek (AC'97).

stYle345 17.06.2008 17:01
kay thx :heilig:, aber brauch ich des onboard sound eig aktiviert lassn =? weil habn ja normale soundkarte

cosinus 17.06.2008 17:05
Du hast also ne Soundkarte, die als Erweiterungskarte (PCI) im System steckt? Wenn ja, kannst Du dann im BIOS den Onboard-Sound deaktivieren. Wie das geht steht im Handbuch.

stYle345 18.06.2008 18:40
kay. y0 un thX für eure Bemühungen :)

werd euch weiter empfehlen.

greeZ :party:


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131