Trojaner-Board - Internetverbindung bricht permanent ab

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Internetverbindung bricht permanent ab (https://www.trojaner-board.de/52643-internetverbindung-bricht-permanent-ab.html)

foxylady

18.05.2008 20:57

Internetverbindung bricht permanent ab

Hallo,

ich habe folgendes Problem: Meine Internetverbindung bricht seit ca. einem Monat stets nach 2-4 Stunden ab. Ich nutze einen Fritz-WLAN-Router, der bei meinen Mitbewohnern keinerlei Probleme macht. Outlook ist dann ebenfalls nicht mehr zu nutzen.

Das Seltsame dabei ist folgendes: Die Drahtlosverbindung wird nach wie vor als aktiv angezeigt. Auch meine Online-Spielseiten kann ich bei einem Abbruch problemlos weiterhin nutzen. Nur Internet und Outlook haben keine Verbindung mehr. Die einzige Hilfe ist ein Neustart.

Bin über Google auf Euer Forum aufmerksam geworden und hoffe auf Hilfe, da ich langsam verzweifle. Hier mein HJT-Logfile mit Bitte um eine kurze Rückmeldung, ob ich mir was eingefangen habe:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 9:43:52 PM, on 05/18/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Acer\eManager\anbmServ.exe

C:\Programme\VPN Client\cvpnd.exe

C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Arcade\PCMService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\WINDOWS\csrss.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\sistray.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\acer\eRecovery\Monitor.exe

C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\System32\svchost.exe

D:\Poker\Poker Tracker\ptrack2.exe

D:\Poker\Poker Tracker\ptrack2.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Programme\Poker\PokerAce Hud\PAHud.exe

C:\Programme\Poker\PokerAce Hud\PAHud.exe

C:\WINDOWS\system32\cmd.exe

C:\Poker\Titan Poker\casino.exe

C:\Programme\Avant Browser\avant.exe

C:\Programme\SPYWAREfighter\spftray.exe

C:\Programme\SPYWAREfighter\spfprc.exe

C:\Programme\SPYWAREfighter\SPYWAREfighter.exe

C:\Programme\SPYWAREfighter\SPYWAREfighter.exe

C:\Dokumente und Einstellungen\r***e\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1OCJ990T\HiJackThis[1].exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] REM C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] REM C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [hpppta] C:\Programme\HP Scan\PrecisionScan\hpppta.exe /ICON

O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\csrss.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spftray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-1870000327-2447492193-2234227033-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: VPN Client.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm

O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm

O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\r***e\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing)

O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\r***e\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing)

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\Poker\Ultimate Bet\UltimateBet.exe

O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\Poker\Ultimate Bet\UltimateBet.exe

O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Poker\CDPoker\casino.exe

O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Poker\CDPoker\casino.exe

O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\Poker\PartyPoker\PartyCasino\RunCasino.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\Poker\PartyPoker\PartyCasino\RunCasino.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Poker\PartyPoker\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Poker\PartyPoker\PartyPoker\RunApp.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programme\SPYWAREfighter\spfprc.exe
 

--

End of file - 9964 bytes

Liebe Grüße,
Nadja

undoreal

18.05.2008 21:57

Hallo foxylady und

:hallo:

Um genau herauszufinden was du dir eingefangen hast solltest du eine Datei online auswerten lassen.

Dateien Online überprüfen lassen:

* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

C:\WINDOWS\csrss.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

PS: Deinstalliere bitte den Spywarefighter! :rolleyes:

foxylady

18.05.2008 23:17

Hallo undoreal,

vielen Dank für Deine Hilfe. Habe die Spy-Software deinstalliert und diese eine Datei wie beschrieben prüfen lassen. Hier das Ergebnis:

Code:

csrss.exe received on 05.19.2008 00:09:33 (CET)Antivirus Version Last Update Result 

AhnLab-V3 2008.5.10.0 2008.05.13 - 

AntiVir 7.8.0.17 2008.05.13 TR/Proxy.Agent.KJ.75 

Authentium 5.1.0.4 2008.05.14 W32/Trojan2.AEVD 

Avast 4.8.1169.0 2008.05.12 Win32:Agent-BYB 

AVG 7.5.0.516 2008.05.13 Proxy.AACQ 

BitDefender 7.2 2008.05.08 Trojan.Proxy.Agent.BBF 

CAT-QuickHeal 9.50 2008.05.12 TrojanProxy.Agent.kj 

ClamAV 0.92.1 2008.05.13 Trojan.Proxy-2573 

DrWeb 4.44.0.09170 2008.05.13 Trojan.Spambot 

eSafe 7.0.15.0 2008.05.12 Win32.Agent.kj 

eTrust-Vet 31.4.5784 2008.05.13 Win32/Iflar!generic 

Ewido 4.0 2008.05.13 Proxy.Agent.kj 

F-Prot 4.4.2.54 2008.05.13 W32/Trojan2.AEVD 

F-Secure 6.70.13260.0 2008.05.13 W32/Malware 

Fortinet 3.14.0.0 2008.05.13 - 

GData 2.0.7306.1023 2008.05.14 Trojan-Proxy.Win32.Agent.kj 

Ikarus T3.1.1.26.0 2008.05.13 Trojan-Proxy.Win32.Agent.kj 

Kaspersky 7.0.0.125 2008.05.13 Trojan-Proxy.Win32.Agent.kj 

McAfee 5293 2008.05.12 FDoS-Spabot 

Microsoft 1.3408 2008.05.13 Trojan:Win32/Iflar.gen 

NOD32v2 3095 2008.05.13 probably unknown NewHeur_PE virus 

Norman 5.80.02 2008.05.09 W32/Agent.EJOB 

Panda 9.0.0.4 2008.05.12 Trj/Goldun.JQ 

Prevx1 V2 2008.05.19 Cloaked Malware 

Rising 20.44.12.00 2008.05.13 - 

Sophos 4.29.0 2008.05.13 Mal/Generic-A 

Sunbelt 3.0.1114.0 2008.05.12 Trojan-Proxy.Agent.BBF 

Symantec 10 2008.05.13 Hacktool.Spammer 

TheHacker 6.2.92.309 2008.05.13 Trojan/Proxy.Agent.kj 

VBA32 3.12.6.6 2008.05.13 Trojan-Proxy.Win32.Agent.kj 

VirusBuster 4.3.26:9 2008.05.12 - 

Webwasher-Gateway 6.6.2 2008.05.13 Trojan.Proxy.Agent.KJ.75 

 

Additional information 

File size: 111616 bytes 

MD5...: 0f9beabce2c5d5fcec67e2f22cd876f3 

SHA1..: 88b57a71d91eecc0f12fe1647f513195a47af443 

SHA256: 73cc0e5998f47bafb2e8da74e6e173b025632141b3df07b9d4ecff3c0f7c9460 

SHA512: b2cdca2f1241706beee7a3adc9cc789008d33ba8024621961f293d3eb876e5d8<BR>2cce536732c5ab27e269d78cb31c2013836de73f08e1d418aba653a71b5d5aba 

PEiD..: UPX 2.90 [LZMA] -&gt; Markus Oberhumer, Laszlo Molnar &amp; John Reiser 

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x447310<BR>timedatestamp.....: 0x47b175cb (Tue Feb 12 10:32:43 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x2c000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x2d000 0x1b000 0x1a600 7.90 445a47f3d07ddc890b4599fa7e96d371<BR>.rsrc 0x48000 0x1000 0xa00 2.88 9a910b94c25b901e5ed88c39e38cbe3f<BR><BR>( 9 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess<BR>&gt; ADVAPI32.dll: RegCloseKey<BR>&gt; COMCTL32.dll: -<BR>&gt; comdlg32.dll: GetFileTitleA<BR>&gt; DNSAPI.dll: DnsQuery_A<BR>&gt; GDI32.dll: Escape<BR>&gt; USER32.dll: GetDC<BR>&gt; WINSPOOL.DRV: ClosePrinter<BR>&gt; WSOCK32.dll: -<BR><BR>( 0 exports ) <BR> 

packers (Authentium): UPX 

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FE3F8C280053EE85B475015CA9EC01007B843E09 

packers (Kaspersky): UPX 

packers (F-Prot): UPX 

packers (Avast): UPX 
 
 

<table border="1"><tr><td colspan="4">File csrss.exe received on 05.19.2008 00:09:33 (CET)</td></tr><tr><td>Antivirus</td><td>Version</td><td>Last Update</td><td>Result</td</tr><tr><td>AhnLab-V3</td><td>2008.5.10.0</td><td>2008.05.13</td><td>-</td</tr><tr><td>AntiVir</td><td>7.8.0.17</td><td>2008.05.13</td><td style="color: red;">TR/Proxy.Agent.KJ.75</td</tr><tr><td>Authentium</td><td>5.1.0.4</td><td>2008.05.14</td><td style="color: red;">W32/Trojan2.AEVD</td</tr><tr><td>Avast</td><td>4.8.1169.0</td><td>2008.05.12</td><td style="color: red;">Win32:Agent-BYB</td</tr><tr><td>AVG</td><td>7.5.0.516</td><td>2008.05.13</td><td style="color: red;">Proxy.AACQ</td</tr><tr><td>BitDefender</td><td>7.2</td><td>2008.05.08</td><td style="color: red;">Trojan.Proxy.Agent.BBF</td</tr><tr><td>CAT-QuickHeal</td><td>9.50</td><td>2008.05.12</td><td style="color: red;">TrojanProxy.Agent.kj</td</tr><tr><td>ClamAV</td><td>0.92.1</td><td>2008.05.13</td><td style="color: red;">Trojan.Proxy-2573</td</tr><tr><td>DrWeb</td><td>4.44.0.09170</td><td>2008.05.13</td><td style="color: red;">Trojan.Spambot</td</tr><tr><td>eSafe</td><td>7.0.15.0</td><td>2008.05.12</td><td style="color: red;">Win32.Agent.kj</td</tr><tr><td>eTrust-Vet</td><td>31.4.5784</td><td>2008.05.13</td><td style="color: red;">Win32/Iflar!generic</td</tr><tr><td>Ewido</td><td>4.0</td><td>2008.05.13</td><td style="color: red;">Proxy.Agent.kj</td</tr><tr><td>F-Prot</td><td>4.4.2.54</td><td>2008.05.13</td><td style="color: red;">W32/Trojan2.AEVD</td</tr><tr><td>F-Secure</td><td>6.70.13260.0</td><td>2008.05.13</td><td style="color: red;">W32/Malware</td</tr><tr><td>Fortinet</td><td>3.14.0.0</td><td>2008.05.13</td><td>-</td</tr><tr><td>GData</td><td>2.0.7306.1023</td><td>2008.05.14</td><td style="color: red;">Trojan-Proxy.Win32.Agent.kj</td</tr><tr><td>Ikarus</td><td>T3.1.1.26.0</td><td>2008.05.13</td><td style="color: red;">Trojan-Proxy.Win32.Agent.kj</td</tr><tr><td>Kaspersky</td><td>7.0.0.125</td><td>2008.05.13</td><td style="color: red;">Trojan-Proxy.Win32.Agent.kj</td</tr><tr><td>McAfee</td><td>5293</td><td>2008.05.12</td><td style="color: red;">FDoS-Spabot</td</tr><tr><td>Microsoft</td><td>1.3408</td><td>2008.05.13</td><td style="color: red;">Trojan:Win32/Iflar.gen</td</tr><tr><td>NOD32v2</td><td>3095</td><td>2008.05.13</td><td style="color: red;">probably unknown NewHeur_PE virus</td</tr><tr><td>Norman</td><td>5.80.02</td><td>2008.05.09</td><td style="color: red;">W32/Agent.EJOB</td</tr><tr><td>Panda</td><td>9.0.0.4</td><td>2008.05.12</td><td style="color: red;">Trj/Goldun.JQ</td</tr><tr><td>Prevx1</td><td>V2</td><td>2008.05.19</td><td style="color: red;">Cloaked Malware</td</tr><tr><td>Rising</td><td>20.44.12.00</td><td>2008.05.13</td><td>-</td</tr><tr><td>Sophos</td><td>4.29.0</td><td>2008.05.13</td><td style="color: red;">Mal/Generic-A</td</tr><tr><td>Sunbelt</td><td>3.0.1114.0</td><td>2008.05.12</td><td style="color: red;">Trojan-Proxy.Agent.BBF</td</tr><tr><td>Symantec</td><td>10</td><td>2008.05.13</td><td style="color: red;">Hacktool.Spammer</td</tr><tr><td>TheHacker</td><td>6.2.92.309</td><td>2008.05.13</td><td style="color: red;">Trojan/Proxy.Agent.kj</td</tr><tr><td>VBA32</td><td>3.12.6.6</td><td>2008.05.13</td><td style="color: red;">Trojan-Proxy.Win32.Agent.kj</td</tr><tr><td>VirusBuster</td><td>4.3.26:9</td><td>2008.05.12</td><td>-</td</tr><tr><td>Webwasher-Gateway</td><td>6.6.2</td><td>2008.05.13</td><td style="color: red;">Trojan.Proxy.Agent.KJ.75</td</tr><tr><td colspan="4">&nbsp;</td></tr><tr><td colspan="4">Additional information</td></tr><tr><td colspan="4">File size: 111616 bytes</td></tr><tr><td colspan="4">MD5...: 0f9beabce2c5d5fcec67e2f22cd876f3</td></tr><tr><td colspan="4">SHA1..: 88b57a71d91eecc0f12fe1647f513195a47af443</td></tr><tr><td colspan="4">SHA256: 73cc0e5998f47bafb2e8da74e6e173b025632141b3df07b9d4ecff3c0f7c9460</td></tr><tr><td colspan="4">SHA512: b2cdca2f1241706beee7a3adc9cc789008d33ba8024621961f293d3eb876e5d8<BR>2cce536732c5ab27e269d78cb31c2013836de73f08e1d418aba653a71b5d5aba</td></tr><tr><td colspan="4">PEiD..: UPX 2.90 [LZMA] -&gt; Markus Oberhumer, Laszlo Molnar &amp; John Reiser</td></tr><tr><td colspan="4">PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x447310<BR>timedatestamp.....: 0x47b175cb (Tue Feb 12 10:32:43 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x2c000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x2d000 0x1b000 0x1a600 7.90 445a47f3d07ddc890b4599fa7e96d371<BR>.rsrc 0x48000 0x1000 0xa00 2.88 9a910b94c25b901e5ed88c39e38cbe3f<BR><BR>( 9 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess<BR>&gt; ADVAPI32.dll: RegCloseKey<BR>&gt; COMCTL32.dll: -<BR>&gt; comdlg32.dll: GetFileTitleA<BR>&gt; DNSAPI.dll: DnsQuery_A<BR>&gt; GDI32.dll: Escape<BR>&gt; USER32.dll: GetDC<BR>&gt; WINSPOOL.DRV: ClosePrinter<BR>&gt; WSOCK32.dll: -<BR><BR>( 0 exports ) <BR></td></tr><tr><td colspan="4">packers (Authentium): UPX</td></tr><tr><td colspan="4">Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=FE3F8C280053EE85B475015CA9EC01007B843E09</td></tr><tr><td colspan="4">packers (Kaspersky): UPX</td></tr><tr><td colspan="4">packers (F-Prot): UPX</td></tr><tr><td colspan="4">packers (Avast): UPX</td></tr></table>

Vielleicht kannst Du damit was anfangen und mir weiterhelfen. Ich verstehe da nur :confused:.

LG Nadja

undoreal

19.05.2008 00:21

Du verschickst im Moment massenhaft Spam Mails und machst dich damit leider strafbar. Auch wenn du nicht direkt was dafür kannst bist du für die Sicherheit deines Rechners verantwortlich.

ThreatExpert Report: Trojan-Proxy.Win32.Agent.kj, Trojan Horse

Diese Infektionen kompromitieren dein System erheblich was eine Bereinigung schwierig macht und die Gefahr besteht, dass dein System hinterher trotzdem nicht vertrauenswürdig ist.

Die Entscheidung liegt bei dir: Weitermachen oder neuaufsetzen?

Wenn du Fragen zu beiden Optionen hast stehe ich gerne zur Verfügung.. ;)

foxylady

19.05.2008 00:29

:eek: Oh Gott. Mit welcher Mail-Adresse denn? Im meinem Outlook ist nichts in gesendeten Objekten. Ist dieser Trojaner auch für meine Internet-Abstürze verantwortlich?

Ich habe Panik vor einer Neuinstallation des Systems. Deswegen würde ich gerne versuchen, das Problem nach Deiner Anleitung zu retten.

Was kann ich denn machen :heulen:?

undoreal

19.05.2008 00:31

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste das logFile

5) Run Combofix. Poste den erscheinenden Text.

6) Überprüfe dein System mit SASW.

7) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

8) Poste ein frisches Hijackthis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht:Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

9) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

foxylady

19.05.2008 14:09

Hallo undoreal,

vielen Dank. Hoffe ich habe alles richtig gemacht. Muss wegen dem Umfang in mehreren Posts antworten.

Happy day, Nadja

Blacklight-Log (keine Bedrohung gefunden)

Code:

05/19/08 02:55:36 [Info]: BlackLight Engine 1.0.70 initialized

05/19/08 02:55:36 [Info]: OS: 5.1 build 2600 (Service Pack 2)

05/19/08 02:55:37 [Note]: 7019 4

05/19/08 02:55:37 [Note]: 7005 0

05/19/08 02:56:45 [Note]: 7006 0

05/19/08 02:56:45 [Note]: 7011 308

05/19/08 02:56:45 [Note]: 7035 0

05/19/08 02:56:46 [Note]: 7026 0

05/19/08 02:56:46 [Note]: 7026 0

05/19/08 02:56:49 [Note]: FSRAW library version 1.7.1024

05/19/08 02:58:57 [Note]: 7007 0

Silentrunners-Log

Code:

"Silent Runners.vbs", revision 58, h**p://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"
 
 

Startup items buried in registry:

---------------------------------
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"LaunchApp" = "Alaunch" ["Acer Inc."]

"SynTPLpr" = "REM C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [file not found]

"SynTPEnh" = "REM C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [file not found]

"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]

"AGRSMMSG" = "AGRSMMSG.exe" ["Agere Systems"]

"SiSPower" = "Rundll32.exe SiSPower.dll,ModeAgent" [MS]

"SiS Windows KeyHook" = "C:\WINDOWS\system32\keyhook.exe" ["Silicon Integrated Systems Corporation"]

"PCMService" = ""C:\Programme\Arcade\PCMService.exe"" ["CyberLink Corp."]

"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]

"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]

"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]

"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]

"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]

"eRecoveryService" = "C:\Windows\System32\Check.exe" ["acer Inc."]

"hpppta" = "C:\Programme\HP Scan\PrecisionScan\hpppta.exe /ICON" ["Hewlett-Packard Company"]

"NeroCheck" = "REM C:\WINDOWS\system32\NeroCheck.exe" [file not found]

"OpwareSE2" = ""C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"" ["ScanSoft, Inc."]

"winlogon" = "C:\WINDOWS\csrss.exe" [null data]

"HP Software Update" = "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" ["Hewlett-Packard Co."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"

  -> {HKLM...CLSID} = "XTTBPos00 Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "AcroIEHlprObj Class"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{AE7CD045-E861-484f-8273-0445EE161910}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "AcroIEToolbarHelper Class"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

{AE84A6AA-A333-4B92-B276-C11E2212E4FE}\(Default) = "HP Smart Web Printing 1.0"

  -> {HKLM...CLSID} = "CPrintEnhancer Object"

                   \InProcServer32\(Default) = "C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll" ["Hewlett-Packard Co."]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"

  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]

"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"

  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]

"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"

  -> {HKLM...CLSID} = "Microsoft Office Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter"

  -> {HKLM...CLSID} = "dMCIShell Class"

                   \InProcServer32\(Default) = "C:\Programme\dBpoweramp\dMCShell.dll" ["Illustrate"]
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\

"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

  -> {HKLM...CLSID} = "WPDShServiceObj Class"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
 

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\

<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler"

  -> {HKLM...CLSID} = "dBpShell Class"

                   \InProcServer32\(Default) = "C:\Programme\dBpoweramp\dBShell.dll" ["Illustrate"]
 

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"

  -> {HKLM...CLSID} = "Acrobat Elements Context Menu"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
 

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"

  -> {HKLM...CLSID} = "MCLiteShellExt Class"

                   \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
 

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {HKLM...CLSID} = "WinRAR"

                   \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"

  -> {HKLM...CLSID} = "WinZip"

                   \InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
 
 

Group Policies {policy setting}:

--------------------------------
 

Note: detected settings may not have any effect.
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
 

"NoWinKeys" = (REG_DWORD) dword:0x00000001

{Disable Windows+X hotkeys}
 

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
 

"disableregistrytools" = (REG_DWORD) dword:0x00000000

{Prevent access to registry editing tools}
 

HKCU\Software\Policies\Microsoft\Windows\System\
 

"disablecmd" = (REG_DWORD) dword:0x00000000

{Disable the command prompt}
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
 

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001

{Shutdown: Allow system to be shut down without having to log on}
 

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001

{Devices: Allow undock without having to log on}
 
 

Active Desktop and Wallpaper:

-----------------------------
 

Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
 

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
 
 

Windows Portable Device AutoPlay Handlers

-----------------------------------------
 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\
 

dMCAudioCDInput\

"Provider" = "dBpoweramp CD Ripper"

"InvokeProgID" = "dMC.AudioCD.Autorun"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\dMC.AudioCD.Autorun\shell\open\command\(Default) = ""C:\Programme\dBpoweramp\CDGrab.exe" %1" ["Illustrate"]
 

MSWPDShellNamespaceHandler\

"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"

"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"

"InitCmdLine" = " "

  -> {HKLM...CLSID} = "WPDShextAutoplay"

                   \LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]
 

NTIBurner\

"Provider" = "NTI CD-Maker"

"InvokeProgID" = "NTIBurnerOpen"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\NTIBurnerOpen\shell\open\command\(Default) = "C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\Cdmkr32.exe" ["NewTech Infosystems, Inc."]
 

PCinemaDCameraArrival\

"Provider" = "Arcade"

"InvokeProgID" = "Picture"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\Picture\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Programme\Arcade\PCM3.exe" DSC" ["Acer Corp."]
 

PCinemaDVArrival\

"Provider" = "Arcade"

"ProgID" = "Shell.HWEventHandlerShellExecute"

"InitCmdLine" = ""C:\Programme\Arcade\PCM3.exe" DV"

HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"

  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"

                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]
 

PCinemaMediaFilesArrival\

"Provider" = "Arcade"

"InvokeProgID" = "MeidaFiles"

"InvokeVerb" = "BrowseWithPowerCinema"

HKLM\SOFTWARE\Classes\MeidaFiles\shell\BrowseWithPowerCinema\Command\(Default) = ""C:\Programme\Arcade\PCM3.exe"" ["Acer Corp."]
 

PCinemaPlayCDAudioOnArrival\

"Provider" = "Arcade"

"InvokeProgID" = "AudioCD"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\AudioCD\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Programme\Arcade\PCM3.exe" CD "%L"" ["Acer Corp."]
 

PCinemaPlayDVDMovieOnArrival\

"Provider" = "Arcade"

"InvokeProgID" = "DVD"

"InvokeVerb" = "PlayWithPowerCinema"

HKLM\SOFTWARE\Classes\DVD\shell\PlayWithPowerCinema\Command\(Default) = ""C:\Programme\Arcade\PCM3.exe" MOVIE "%L"" ["Acer Corp."]
 

PPCDBurningOnArrival\

"Provider" = "PowerProducer"

"InvokeProgID" = "Picture"

"InvokeVerb" = "OpenWithPowerProducer"

HKLM\SOFTWARE\Classes\Picture\shell\OpenWithPowerProducer\Command\(Default) = ""C:\Programme\CyberLink\PowerProducer\Producer.exe"" ["Cyberlink"]
 

PPDCameraArrival\

"Provider" = "PowerProducer"

"InvokeProgID" = "Picture"

"InvokeVerb" = "OpenWithPowerProducer"

HKLM\SOFTWARE\Classes\Picture\shell\OpenWithPowerProducer\Command\(Default) = ""C:\Programme\CyberLink\PowerProducer\Producer.exe"" ["Cyberlink"]
 

PPDVArrival\

"Provider" = "PowerProducer"

"ProgID" = "Shell.HWEventHandlerShellExecute"

"InitCmdLine" = "C:\Programme\CyberLink\PowerProducer\Producer.exe"

HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"

  -> {HKLM...CLSID} = "ShellExecute HW Event Handler"

                   \LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]
 

RPCDBurningOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.CDBurn.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /burn "%1"" ["RealNetworks, Inc."]
 

RPDeviceOnArrival\

"Provider" = "RealPlayer"

"ProgID" = "RealPlayer.HWEventHandler"

HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = "{67E76F1D-BDE2-4052-913C-2752366192D2}"

  -> {HKLM...CLSID} = "RealNetworks Scheduler"

                   \LocalServer32\(Default) = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -autoplay" ["RealNetworks, Inc."]
 

RPPlayCDAudioOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AudioCD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /play %1 " ["RealNetworks, Inc."]
 

RPPlayDVDMovieOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.DVD.6"

"InvokeVerb" = "play"

HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe  /dvd %1 " ["RealNetworks, Inc."]
 

RPPlayMediaOnArrival\

"Provider" = "RealPlayer"

"InvokeProgID" = "RealPlayer.AutoPlay.6"

"InvokeVerb" = "open"

HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = "C:\Programme\Real\RealPlayer\RealPlay.exe /autoplay "%1"" ["RealNetworks, Inc."]
 
 

Startup items in "*****" & "All Users" startup folders:

-------------------------------------------------------
 

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

"Utility Tray" -> shortcut to: "C:\WINDOWS\system32\sistray.exe" ["Silicon Integrated Systems Corporation"]

"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

"Acrobat Assistant" -> shortcut to: "C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe" ["Adobe Systems Inc."]

"VPN Client" -> shortcut to: "C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico -user_logon" [null data]

"HP Digital Imaging Monitor" -> shortcut to: "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" ["Hewlett-Packard Co."]
 
 

Winsock2 Service Provider DLLs:

-------------------------------
 

Namespace Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
 

Transport Service Providers
 

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
 
 

Toolbars, Explorer Bars, Extensions:

------------------------------------
 

Toolbars
 

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}"

  -> {HKLM...CLSID} = "Adobe PDF"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}"

  -> {HKLM...CLSID} = "ICQ Toolbar"

                   \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\

"{47833539-D0C5-4125-9FA8-0819E2EAAC93}" = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)

  -> {HKLM...CLSID} = "ICQ Toolbar"

                   \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
 

Explorer Bars
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

{182EC0BE-5110-49C8-A062-BEB1D02A220B}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Adobe PDF"

                   \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll" [null data]

{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "Real.com"

                   \InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]
 

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]
 

Extensions (Tools menu items, main toolbar menu buttons)
 

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{13C1DBF6-7535-495C-91F6-8C13714ED485}\

"ButtonText" = "Absolute Poker"

"MenuText" = "Absolute Poker"

"Exec" = "C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk" [file not found]
 

{49783ED4-258D-4F9F-BE11-137C18D3E543}\

"ButtonText" = "Titan Poker"

"MenuText" = "Titan Poker"

"Exec" = "C:\Poker\Titan Poker\casino.exe" [null data]
 

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Recherchieren"
 

{94148DB5-B42D-4915-95DA-2CBB4F7095BF}\

"ButtonText" = "UltimateBet"

"MenuText" = "UltimateBet"

"Exec" = "C:\Programme\Poker\Ultimate Bet\UltimateBet.exe" ["UltimateBet"]
 

{A68FC757-51CF-4F3C-B13A-BFB8CA69BB99}\

"ButtonText" = "CDPoker"

"MenuText" = "CDPoker"

"Exec" = "D:\Poker\CDPoker\casino.exe" [null data]
 

{B4B52284-A248-4C51-9F7C-F0A0C67FCC9D}\

"ButtonText" = "PartyCasino.com"

"MenuText" = "PartyCasino.com"

"Exec" = "C:\Programme\Poker\PartyPoker\PartyCasino\RunCasino.exe" [file not found]
 

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\

"ButtonText" = "PartyPoker.com"

"MenuText" = "PartyPoker.com"

"Exec" = "C:\Programme\Poker\PartyPoker\PartyPoker\RunApp.exe" [empty string]
 

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\

"ButtonText" = "ICQ Lite"

"MenuText" = "ICQ Lite"

"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]
 

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

"ButtonText" = "Real.com"
 
 

Miscellaneous IE Hijack Points

------------------------------
 

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)

  -> {HKLM...CLSID} = "ICQ Toolbar"

                   \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
 
 

Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------
 

Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."]

Firebird Guardian - DefaultInstance, FirebirdGuardianDefaultInstance, "C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe -s" ["The Firebird Project"]

Firebird Server - DefaultInstance, FirebirdServerDefaultInstance, "C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe -s" ["The Firebird Project"]

HP CUE DeviceDiscovery Service, hpqddsvc, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll" ["Hewlett-Packard Co."]}

hpqcxs08, hpqcxs08, "C:\WINDOWS\system32\svchost.exe -k hpdevmgmt" {"C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll" ["Hewlett-Packard Co."]}

Net Driver HPZ12, Net Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZinw12.dll" ["Hewlett-Packard"]}

Notebook Manager Service, anbmService, "C:\Acer\eManager\anbmServ.exe" ["OSA Technologies Inc."]

Pml Driver HPZ12, Pml Driver HPZ12, "C:\WINDOWS\System32\svchost.exe -k HPZ12" {"C:\WINDOWS\system32\HPZipm12.dll" ["Hewlett-Packard"]}

PostgreSQL Database Server 8.3, pgsql-8.3, "C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "C:\Programme\PostgreSQL\8.3\data\"" ["PostgreSQL Global Development Group"]
 
 

Print Monitors:

---------------
 

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\

Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]

PCL hpz3l4v2\Driver = "hpz3l4v2.dll" ["Hewlett-Packard Company"]

PCL hpz3l4x6\Driver = "hpz3l4x6.dll" ["Hewlett-Packard Company"]
 
 

---------- (launch time: 2008-05-19 03:13:45)

<<!>>: Suspicious data at a malware launch point.

<<H>>: Suspicious data at a browser hijack point.
 

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 45 seconds.

---------- (total run time: 646 seconds)

foxylady

19.05.2008 14:13

Combofix-Log

Code:

ComboFix 08-05-15.3 - ***** 2008-05-19  3:32:54.1 - FAT32x86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.535 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\*****\Desktop\ComboFix.exe

Command switches used :: C:\Dokumente und Einstellungen\*****\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T5MZXXZ9\Broadcaster.com | Home | Viral Video Clips, Live Community, News, Software, Movies, Music, Games, Mobile Media & More

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T5MZXXZ9\www.broadcaster.com\played_list.sol

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T5MZXXZ9\www.broadcaster.com\video_queue.sol

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#Broadcaster.com | Home | Viral Video Clips, Live Community, News, Software, Movies, Music, Games, Mobile Media & More

C:\Dokumente und Einstellungen\*****\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol

C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\JFYOP@

C:\WINDOWS\csrss.exe
 

.

(((((((((((((((((((((((   Dateien erstellt von 2008-04-19 bis 2008-05-19  ))))))))))))))))))))))))))))))

.
 

2008-05-19 03:19 . 2004-08-04 05:00        401,408        --a------        C:\WINDOWS\system32\CF8475.exe

2008-05-18 14:59 . 2008-05-18 14:59        <DIR>        d--------        C:\Programme\Avant Browser

2008-05-18 14:59 . 2008-05-18 14:59        <DIR>        d--------        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Avant Profiles

2008-05-12 12:01 . 2008-05-12 12:01        <DIR>        d--------        C:\Programme\AutoHotkey

2008-04-22 21:39 . 2008-04-22 21:39        <DIR>        d--------        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\dBpoweramp

2008-04-22 21:21 . 2008-04-22 21:21        <DIR>        d--------        C:\Programme\dBpoweramp

2008-04-22 21:21 . 2008-04-22 21:21        <DIR>        d--------        C:\Dokumente und Einstellungen\*****\Anwendungsdaten\AccurateRip

2008-04-22 21:21 . 2008-04-22 21:07        4,230,520        --a------        C:\WINDOWS\system32\SpoonUninstall.exe

2008-04-22 21:21 . 2008-04-22 21:21        33,846        --a------        C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.bmp

2008-04-22 21:21 . 2008-04-22 21:21        12,881        --a------        C:\WINDOWS\system32\SpoonUninstall-dBpoweramp Music Converter.dat

2008-04-22 20:56 . 2008-04-22 20:56        <DIR>        d--------        C:\Programme\LameFE

2008-04-22 20:50 . 2008-04-22 20:50        <DIR>        d--------        C:\Programme\MP3 Ripper LameFE

2008-04-21 11:26 . 2008-04-21 11:26        <DIR>        d--------        C:\Programme\BrainSpeeder

2008-04-21 11:25 . 2008-04-21 11:25        <DIR>        d--------        C:\WINDOWS\uninstall\BrainSpeeder

2008-04-21 11:25 . 2008-04-21 11:25        <DIR>        d--------        C:\WINDOWS\uninstall
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-27 13:58        ---------        d-----w        C:\Programme\Gemeinsame Dateien\HP

2008-03-27 13:57        ---------        d-----w        C:\Programme\Hewlett-Packard

2008-03-25 04:51        621,344        ----a-w        C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51        621,344        ----a-w        C:\WINDOWS\system32\dllcache\mswstr10.dll

2008-03-25 04:51        187,168        ----a-w        C:\WINDOWS\system32\msjint40.dll

2008-03-25 04:51        187,168        ----a-w        C:\WINDOWS\system32\dllcache\msjint40.dll

2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\win32k.sys

2008-03-20 08:03        1,845,376        ----a-w        C:\WINDOWS\system32\dllcache\win32k.sys

2008-02-20 06:50        282,624        ----a-w        C:\WINDOWS\system32\gdi32.dll

2008-02-20 06:50        282,624        ----a-w        C:\WINDOWS\system32\dllcache\gdi32.dll

2008-02-20 05:33        45,568        ----a-w        C:\WINDOWS\system32\dnsrslvr.dll

2008-02-20 05:33        45,568        ----a-w        C:\WINDOWS\system32\dllcache\dnsrslvr.dll

2008-02-20 05:33        148,992        ----a-w        C:\WINDOWS\system32\dllcache\dnsapi.dll

2006-11-09 03:00        7,205        ----a-w        C:\Programme\INSTALL.LOG

2006-08-14 00:07        24,265,736        ----a-w        C:\Dokumente und Einstellungen\*****\dotnetfx.exe

2006-05-06 11:54        3,235,840        ----a-w        C:\Programme\BearShare.exe

2006-05-06 10:49        233,288        ----a-w        C:\Programme\BSZ.exe

2006-04-18 13:59        692,224        ----a-w        C:\Programme\BearShareZangoInstaller.exe

2006-02-07 12:54        347        ----a-w        C:\Programme\Webstats.bat

2006-02-07 12:54        3,159        ----a-w        C:\Programme\Webstats.ini

2006-02-07 12:54        294,912        ----a-w        C:\Programme\Webstats.exe

2006-02-07 12:47        57,344        ----a-w        C:\Programme\RunMSC.dll

2006-02-07 12:35        32        ----a-w        C:\Programme\History.txt

2006-02-07 12:28        24,576        ----a-w        C:\Programme\BSidle.dll

2004-09-28 02:00        26,240        ----a-w        C:\WINDOWS\inf\RAMDSK.SYS

2002-07-26 16:02        153,088        ----a-w        C:\Programme\UNWISE.EXE

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" []

"SynTPLpr"="REM C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [ ]

"SynTPEnh"="REM C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [ ]

"SoundMan"="SOUNDMAN.EXE" [2005-02-23 18:13 77824 C:\WINDOWS\SOUNDMAN.EXE]

"AGRSMMSG"="AGRSMMSG.exe" [2004-10-07 19:50 88363 C:\WINDOWS\AGRSMMSG.exe]

"SiSPower"="SiSPower.dll" [2005-02-25 19:35 49152 C:\WINDOWS\system32\SiSPower.dll]

"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2005-03-04 13:13 32768]

"PCMService"="C:\Programme\Arcade\PCMService.exe" [2005-03-09 18:59 49152]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00 208952]

"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00 59392]

"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]

"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00 455168]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-08 10:52 98304]

"eRecoveryService"="C:\Windows\System32\Check.exe" [2005-03-23 10:01 245760]

"hpppta"="C:\Programme\HP Scan\PrecisionScan\hpppta.exe" [2000-12-05 13:02 86016]

"NeroCheck"="REM C:\WINDOWS\system32\NeroCheck.exe" [ ]

"OpwareSE2"="C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 11:00 49152]

"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 21:52 49152]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 05:00 15360]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2005-03-07 23:46:38 331776]

Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-02-09 09:23:12 113664]

Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-04-07 01:42:52 217190]

VPN Client.lnk - C:\WINDOWS\Installer\{176130BC-99A1-41FE-A78B-56045E33AD70}\Icon3E5562ED7.ico [2007-11-07 18:48:05 6144]

HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 21:40:10 210520]
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoWinKeys"= 1 (0x1)
 

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]

path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup
 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]

--a------ 2005-03-28 12:30 315392 C:\Programme\Launch Manager\QtZgAcer.EXE
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\BearShare\\BearShare.exe"=

"C:\\Programme\\BearSharePro\\BearShare.exe"=

"C:\\Programme\\Avant Browser\\avant.exe"=

"C:\\Programme\\Azureus\\Azureus.exe"=

"C:\\Programme\\Real\\RealPlayer\\RealPlay.exe"=

"C:\\Programme\\Windows Media Player\\wmplayer.exe"=

"C:\\WINDOWS\\System32\\FXSCLNT.exe"=

"C:\\Programme\\ICQLite\\ICQLite.exe"=
 

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 01:05]

R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-03-04 16:37]

R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]

R2 pgsql-8.3;PostgreSQL Database Server 8.3;C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "C:\Programme\PostgreSQL\8.3\data\" []

R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 01:05]

R3 int15.sys;int15.sys;C:\Programme\acer\eRecovery\int15.sys [2005-01-13 14:46]

R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 01:43]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12        REG_MULTI_SZ           Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt        REG_MULTI_SZ           hpqcxs08 hpqddsvc
 

*Newly Created Service* - CATCHME

.

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2008-05-19 03:33:52

Windows 5.1.2600 Service Pack 2 FAT NTAPI
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

Zeit der Fertigstellung: 2008-05-19  3:34:15

ComboFix-quarantined-files.txt  2008-05-19 01:34:14
 

              15 Verzeichnis(se),  5,113,053,184 Bytes frei

              24 Verzeichnis(se),  6,124,486,656 Bytes frei
 

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
 

150        --- E O F ---        2008-05-16 19:53:46

foxylady

19.05.2008 14:14

SASW-Ergebnis

Code:

SUPERAntiSpyware Scan Log

h**p://www.superantispyware.com
 

Generated 05/19/2008 at 04:47 AM
 

Application Version : 4.0.1154
 

Core Rules Database Version : 3463

Trace Rules Database Version: 1454
 

Scan type       : Complete Scan

Total Scan Time : 01:01:40
 

Memory items scanned      : 445

Memory threats detected   : 0

Registry items scanned    : 5168

Registry threats detected : 0

File items scanned        : 90032

File threats detected     : 302
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\*****\Cookies\*****@alpha.adwaves[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@komtrack[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@eas.apm.emediate[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@affiliates.commissionaccount[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.etracker[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads2.conjelco[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tripod.lycos[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.tripod.lycos[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@popups[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@partners.webmasterplan[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@atwola[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@account.betfair[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@advertising[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@mediaplex[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@server.iad.liveperson[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@scripts[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@media.funpic[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@revenue[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@media.adrevolver[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tradedoubler[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@partygaming.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.zanox[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-webguidepartner.hitbox[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.fulltiltpoker[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@register[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.adengage[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@zedo[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@xiti[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@bwinde.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@data.coremetrics[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@4stats[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@84.16.241[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@stats.sellmosoft[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.adbrite[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@wtoptexasholdem.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@gametracker[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@a.www.gametracker[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adtech[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tracking.11880[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.gesundheit[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver.71i[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.adition[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-sportingbet.hitbox[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@m1.webstats.motigo[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@statse.webtrendslive[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.xxxuploads[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cz8.clickzs[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@sevenloadgmbh.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@counter.hitslink[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@zbox.zanox[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@partypoker[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.discount24[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@hamburgerabendblatt.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@edge.ru4[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver.complexx[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@mbb[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@secure.partyaccount[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@655479000000238[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@counter1[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@discount24werbung.quarterserver[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.realtechnetwork[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver.easyad[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@porntube[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@stats.adbrite[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@styles[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@casalemedia[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@roitracking[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@perf.overture[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@atdmt[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.heias[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@zanox[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adbrite[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@doubleclick[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tracking.quisma[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@2o7[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@banner.cdpoker[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adrevolver[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@2274524[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.pornflag[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adfarm1.adition[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@vhost.oddcast[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@fastclick[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@oddcast[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tripod[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cgi-bin[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@hotlog[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver1.mokono[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@hitbox[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@hbxtracking.sueddeutsche[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@bonus[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@apmebf[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-wssuk.hitbox[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cashier[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@statcounter[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@hasenet.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@pw[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@client[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@EUR[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads1.partnerlogic[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.wwe[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-osiris.hitbox[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@overture[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@fl01.ct2.comclick[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@pc[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@revsci[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.zanox-affiliate[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adultfriendfinder[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@discount24.quarterserver[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@youporn[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@hmt.connexpromotions[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@yourmedia[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.monster[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver.omeco[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@fasterfind[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.beepworld[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@crackserialkeygen[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.myonid[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.bluecounter[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-ladbrokes.hitbox[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@porn4unow[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@chipxonioonlinegmbh.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@stepstone.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@83227003[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver.kfz-auskunft[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.neverbeg[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@e-2dj6whkiqjdpmeo.stats.esomniture[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adopt.euroclick[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.1asport[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@pornhub[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-avanquest.hitbox[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@clickbank[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@a2.adserver01[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@accounts.pkr[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ecnext.advertserve[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@indextools[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adviva[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads1.conjelco[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@pornflag[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-iaaf.hitbox[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@naked[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@msnportal.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@clickintext[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.cheatbox[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ebony-sex[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@salesforce.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@bs.serving-sys[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tribalfusion[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.pointroll[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.porntube[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@softonic.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@euros4click[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@milliondollarporn[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adultadworld[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@computerwoche[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@paypal.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@3.adbrite[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.adnet[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@fortunecity[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cgi-bin[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cgi-bin[5].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@linksynergy[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads4.net2day[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@allesklarcomag.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cgi-bin[7].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.ladies[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tracker.affistats[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads-dev.youporn[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@pcwelt[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads3.net2day[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@rambler[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@weborama[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@join.porntube[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@stats4free[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@channelpartner[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@mediaservices.myspace[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tour.sexsearchcom[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@serving-sys[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@specificclick[3].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@spylog[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@wt.sexsearch[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@realmedia[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@blackporndirect[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@sexsearchcom[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads2.net2day[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@neue-presse[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@19239230[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@plp[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserv.chirurgie-portal[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@thomascookag.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@14992822[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@web-stat[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cgi-bin[6].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@axelspringer.122.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@sevenoneintermedia.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@web4.realtracker[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@videonew[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@640676078248210[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cgi-bin[4].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ehg-researchinmotion.hitbox[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@countercentral[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tracknet.twyn[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@a3.adserver01[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.pokertracker[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cio[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@server.lon.liveperson[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@1058632449[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@t3.trackalyzer[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@kontera[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@1071214352[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@cicero-media[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@120153390586125[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@apm.emediate[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@bfast[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tacoda[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@groupmtrack[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads2.wetter[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ssl-cdn.euroclick[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@questionmarket[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.net2day[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.ambiweb[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.boreus[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@spamfighter.112.2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.planetactive[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@e-2dj6wfkieiazclp.stats.esomniture[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserv.quality-channel[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@im.banner.t-online[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@casalemedia[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adtech[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@zbox.zanox[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.zanox-affiliate[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@atwola[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.ladies[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@serving-sys[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@partners.webmasterplan[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads1.conjelco[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@euros4click[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@partypoker[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@hbxtracking.sueddeutsche[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.zanox[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@www.etracker[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adbrite[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@overture[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@edge.ru4[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads2.conjelco[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@advertising[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@statcounter[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adserver1.mokono[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@banner[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@zedo[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tradedoubler[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.adnet[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@bs.serving-sys[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@komtrack[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@tribalfusion[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@fastclick[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@questionmarket[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adultfriendfinder[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@m1.webstats.motigo[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.neverbeg[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@apm.emediate[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@secure.partyaccount[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ads.fulltiltpoker[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@server.iad.liveperson[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@specificclick[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@statse.webtrendslive[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@zanox-affiliate[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@eas.apm.emediate[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@indextools[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@2o7[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@revsci[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@pornhub[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@ad.yieldmanager[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@a2.adserver01[2].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@adopt.euroclick[1].txt

        C:\Dokumente und Einstellungen\*****\Cookies\*****@stats[1].txt
 

Adware.WhenU

        C:\Programme\Save\save.htm

        C:\Programme\Save\save.db

        C:\Programme\Save\save.cch

        C:\Programme\Save

        C:\Dokumente und Einstellungen\*****\Startmenü\Programme\WhenU\Learn More About WhenU Save.url

        C:\Dokumente und Einstellungen\*****\Startmenü\Programme\WhenU\Learn More About WhenU SaveNow.url

        C:\Dokumente und Einstellungen\*****\Startmenü\Programme\WhenU\WhenU.com Website.url

        C:\Dokumente und Einstellungen\*****\Startmenü\Programme\WhenU
 

Adware.Casino Games (Golden Palace Casino)

        C:\POKER\TITAN POKER\CASINO.EXE

        C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\DESKTOP\TITAN POKER.LNK

        C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\TITAN POKER.LNK

        C:\PROGRAMME\POKER\VC POKER\VICTOR CHANDLER\CASINO.EXE

        C:\DOKUMENTE UND EINSTELLUNGEN\*****\DESKTOP\POKER\VICTOR CHANDLER.LNK

        C:\DOKUMENTE UND EINSTELLUNGEN\*****\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\TITAN POKER.LNK

        C:\PROGRAMME\POKER\EVEREST POKER\CASINO.EXE

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP2\A0000077.LNK

        C:\SYSTEM VOLUME INFORMATION\_RESTORE{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP2\A0000079.LNK

        C:\WINDOWS\Prefetch\CASINO.EXE-17445361.pf
 

BearShare File Sharing Client

        C:\PROGRAMME\BEARSHARE.EXE

        C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\BEARSHARE.LNK

        C:\PROGRAMME\BEARSHAREPRO\BEARSHARE.EXE

        C:\DOKUMENTE UND EINSTELLUNGEN\*****\DESKTOP\BEAR.LNK

        C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
 

Adware.180solutions/Seekmo/Zango

        C:\PROGRAMME\BEARSHAREZANGOINSTALLER.EXE

foxylady

19.05.2008 14:20

cCleaner hat in 3 Durchgängen alles aufgeräumt.

HiJack-Log

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 5:06:24 AM, on 05/19/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Programme\VPN Client\cvpnd.exe

C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\keyhook.exe

C:\Programme\Arcade\PCMService.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\sistray.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Programme\acer\eRecovery\Monitor.exe

C:\WINDOWS\explorer.exe

C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Avant Browser\avant.exe

C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1OCJ990T\HiJackThis[1].exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] REM C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] REM C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [hpppta] C:\Programme\HP Scan\PrecisionScan\hpppta.exe /ICON

O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-21-1870000327-2447492193-2234227033-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: VPN Client.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm

O8 - Extra context menu item: In neuem Avant Browser öffnen - C:\Programme\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm

O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm

O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing)

O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (file missing)

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\Poker\Ultimate Bet\UltimateBet.exe

O9 - Extra 'Tools' menuitem: UltimateBet - {94148DB5-B42D-4915-95DA-2CBB4F7095BF} - C:\Programme\Poker\Ultimate Bet\UltimateBet.exe

O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Poker\CDPoker\casino.exe

O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Poker\CDPoker\casino.exe

O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\Poker\PartyPoker\PartyCasino\RunCasino.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programme\Poker\PartyPoker\PartyCasino\RunCasino.exe (file missing)

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Poker\PartyPoker\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\Poker\PartyPoker\PartyPoker\RunApp.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\VPN Client\cvpnd.exe

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)

O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe

O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe

O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe
 

--

End of file - 9068 bytes

iClean-Log

Code:

iclean log 05/19/2008 5:07:53 AM
 

Windows XP SP2, Using advanced Kernel functions
 

Processes

---------

944 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe

996 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe

1020 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe

1064 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller

1076 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)

1212 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

1320 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

1360 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

1444 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

1568 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

136 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App

436 - C:\Acer\eManager\anbmServ.exe - Service Program for Acer eManager

744 - C:\Programme\VPN Client\cvpnd.exe - Cisco Systems VPN Client (Signed)

824 - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe - Firebird SQL Server

932 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

980 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

1456 - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe - pg_ctl - starts/stops/restarts the PostgreSQL server

1716 - C:\WINDOWS\SOUNDMAN.EXE - Realtek Sound Manager

1744 - C:\WINDOWS\AGRSMMSG.exe - SoftModem Messaging Applet

1748 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

1796 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

224 - C:\WINDOWS\system32\keyhook.exe - SiS Compatible Super VGA Keyboard Daemon

232 - C:\Programme\Arcade\PCMService.exe - CyberLink PowerCinema Resident Program

320 - C:\Programme\QuickTime\qttask.exe - C:\Programme\QuickTime\qttask.exe

396 - C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe - OCR Aware (32-bit)

512 - C:\Programme\PostgreSQL\8.3\bin\postgres.exe - PostgreSQL Server

532 - C:\Programme\HP\HP Software Update\HPWuSchd2.exe - Hewlett-Packard Product Assistant

560 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader

612 - C:\WINDOWS\system32\sistray.exe - SiS Compatible Super VGA Tray Application

668 - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe - HP Digital Imaging Monitor (Signed)

836 - C:\Programme\PostgreSQL\8.3\bin\postgres.exe - PostgreSQL Server

1232 - C:\Programme\PostgreSQL\8.3\bin\postgres.exe - PostgreSQL Server

1396 - C:\Programme\PostgreSQL\8.3\bin\postgres.exe - PostgreSQL Server

1412 - C:\Programme\PostgreSQL\8.3\bin\postgres.exe - PostgreSQL Server

1476 - C:\Programme\PostgreSQL\8.3\bin\postgres.exe - PostgreSQL Server

1696 - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe - Firebird SQL Server

2536 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services

2836 - C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe - HP CUE Status (Signed)

3028 - C:\Programme\acer\eRecovery\Monitor.exe - Monitor

3732 - C:\WINDOWS\explorer.exe - Windows Explorer

3604 - SUPERAntiSpywar - SUPERAntiSpywar

3460 - C:\Programme\Avant Browser\avant.exe - Avant Browser

2976 - C:\WINDOWS\system32\wbem\wmiprvse.exe - WMI

2192 - C:\Dokumente und Einstellungen\*****\Eigene Dateien\Virus\iclean.exe - Interactive Cleaner
 

Services

--------

c:\acer\emanager\anbmserv.exe=anbmService

C:\WINDOWS\system32\svchost.exe=AudioSrv

C:\WINDOWS\system32\svchost.exe=BITS

C:\WINDOWS\system32\svchost.exe=CryptSvc

c:\programme\vpn client\cvpnd.exe=CVPND

C:\WINDOWS\system32\svchost.exe=DcomLaunch

C:\WINDOWS\system32\svchost.exe=Dhcp

C:\WINDOWS\system32\svchost.exe=Dnscache

C:\WINDOWS\system32\svchost.exe=ERSvc

C:\WINDOWS\system32\services.exe=Eventlog

c:\windows\system32\svchost.exe=EventSystem

C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility

c:\programme\firebird\firebird_1_5\bin\fbguard.exe=FirebirdGuardianDefaultInstance

c:\programme\firebird\firebird_1_5\bin\fbserver.exe=FirebirdServerDefaultInstance

C:\WINDOWS\system32\svchost.exe=helpsvc

C:\WINDOWS\system32\svchost.exe=hpqcxs08

C:\WINDOWS\system32\svchost.exe=hpqddsvc

C:\WINDOWS\system32\svchost.exe=h**pFilter

C:\WINDOWS\system32\svchost.exe=lanmanserver

C:\WINDOWS\system32\svchost.exe=lanmanworkstation

C:\WINDOWS\system32\svchost.exe=LmHosts

C:\WINDOWS\system32\svchost.exe=Messenger

C:\WINDOWS\system32\svchost.exe=Net Driver HPZ12

C:\WINDOWS\system32\svchost.exe=Netman

C:\WINDOWS\system32\svchost.exe=Nla

c:\programme\postgresql\8.3\bin\pg_ctl.exe=pgsql-8.3

C:\WINDOWS\system32\services.exe=PlugPlay

C:\WINDOWS\system32\svchost.exe=Pml Driver HPZ12

C:\WINDOWS\system32\lsass.exe=PolicyAgent

C:\WINDOWS\system32\lsass.exe=ProtectedStorage

C:\WINDOWS\system32\svchost.exe=RasMan

C:\WINDOWS\system32\svchost.exe=RpcSs

C:\WINDOWS\system32\lsass.exe=SamSs

C:\WINDOWS\system32\svchost.exe=Schedule

C:\WINDOWS\system32\svchost.exe=seclogon

C:\WINDOWS\system32\svchost.exe=SENS

C:\WINDOWS\system32\svchost.exe=ShellHWDetection

C:\WINDOWS\system32\spoolsv.exe=Spooler

C:\WINDOWS\system32\svchost.exe=srservice

C:\WINDOWS\system32\svchost.exe=SSDPSRV

C:\WINDOWS\system32\svchost.exe=stisvc

C:\WINDOWS\system32\svchost.exe=TapiSrv

C:\WINDOWS\system32\svchost.exe=TermService

C:\WINDOWS\system32\svchost.exe=Themes

C:\WINDOWS\system32\svchost.exe=TrkWks

C:\WINDOWS\system32\svchost.exe=W32Time

C:\WINDOWS\system32\svchost.exe=WebClient

C:\WINDOWS\system32\svchost.exe=winmgmt

C:\WINDOWS\system32\svchost.exe=wscsvc

C:\WINDOWS\system32\svchost.exe=wuauserv

C:\WINDOWS\system32\svchost.exe=WZCSVC
 

Registry

--------

000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe

000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe

000=HKLM\Run: AGRSMMSG=c:\windows\agrsmmsg.exe

000=HKLM\Run: eRecoveryService=c:\windows\system32\check.exe

000=HKLM\Run: HP Software Update=c:\programme\hp\hp software update\hpwuschd2.exe

000=HKLM\Run: hpppta=c:\programme\hp scan\precisionscan\hpppta.exe

000=HKLM\Run: IMJPMIG8.1="c:\windows\ime\imjp8_1\imjpmig.exe" /spoil /remadvdef /migration32

000=HKLM\Run: LaunchApp=alaunch

000=HKLM\Run: MSPY2002=c:\windows\system32\ime\pintlgnt\imscinst.exe

000=HKLM\Run: NeroCheck=rem c:\windows\system32\nerocheck.exe

000=HKLM\Run: OpwareSE2="c:\programme\scansoft\omnipagese2.0\opwarese2.exe"

000=HKLM\Run: PCMService="c:\programme\arcade\pcmservice.exe"

000=HKLM\Run: PHIME2002A=c:\windows\system32\ime\tintlgnt\tintsetp.exe /imename

000=HKLM\Run: PHIME2002ASync=c:\windows\system32\ime\tintlgnt\tintsetp.exe /sync

000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime

000=HKLM\Run: SiS Windows KeyHook=c:\windows\system32\keyhook.exe

000=HKLM\Run: SiSPower=c:\windows\system32\rundll32.exe

000=HKLM\Run: SoundMan=c:\windows\soundman.exe

000=HKLM\Run: SynTPEnh=rem c:\programme\synaptics\syntp\syntpenh.exe

000=HKLM\Run: SynTPLpr=rem c:\programme\synaptics\syntp\syntplpr.exe

001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe

001=Firewall bypass: C:\Programme\Avant Browser\avant.exe=c:\programme\avant browser\avant.exe

001=Firewall bypass: C:\Programme\Azureus\Azureus.exe=c:\programme\azureus\azureus.exe

001=Firewall bypass: C:\Programme\BearShare\BearShare.exe=c:\programme\bearshare\bearshare.exe

001=Firewall bypass: C:\Programme\BearSharePro\BearShare.exe=c:\programme\bearsharepro\bearshare.exe

001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe

001=Firewall bypass: C:\Programme\Real\RealPlayer\RealPlay.exe=c:\programme\real\realplayer\realplay.exe

001=Firewall bypass: C:\Programme\Windows Media Player\wmplayer.exe=c:\programme\windows media player\wmplayer.exe

001=Firewall bypass: C:\WINDOWS\System32\FXSCLNT.exe=c:\windows\system32\fxsclnt.exe

004=AntiVirus Disable Notify is ON (Default is OFF)

020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll

020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll

020=SSODL: SysTray=c:\windows\system32\stobject.dll

020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll

020=SSODL: WPDShServiceObj=c:\windows\system32\wpdshserviceobj.dll

030=BHO: {055FD26D-3A88-4e15-963D-DC8493744B1D}=c:\programme\icqtoolbar\toolbaru.dll (XTTBPos00 Class)

030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=c:\programme\adobe\acrobat 6.0\acrobat\activex\acroiehelper.dll (AcroIEHlprObj Class)

030=BHO: {AE7CD045-E861-484f-8273-0445EE161910}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll (AcroIEToolbarHelper Class)

030=BHO: {AE84A6AA-A333-4B92-B276-C11E2212E4FE}=c:\programme\hp\smart web printing\smartwebprinting.dll (CPrintEnhancer Object)

031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll

031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll

031=Toolbar: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}=(null)

031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll

031=Toolbar: {855F3B16-6D32-4FE6-8A56-BBB695989046}=c:\programme\icqtoolbar\toolbaru.dll

031=Toolbar: {47833539-D0C5-4125-9FA8-0819E2EAAC93}=c:\programme\adobe\acrobat 6.0\acrobat\acroiefavclient.dll

031=Toolbar: {855F3B16-6D32-4fe6-8A56-BBB695989046}=c:\programme\icqtoolbar\toolbaru.dll
 

Startup Folders

---------------

Common: desktop.ini

Common: utility tray.lnk -> C:\WINDOWS\system32\sistray.exe

Common: adobe gamma loader.lnk -> C:\PROGRA~1\GEMEIN~1\Adobe\CALIBR~1\ADOBEG~1.EXE

Common: acrobat assistant.lnk -> C:\PROGRA~1\Adobe\ACROBA~1.0\Distillr\acrotray.exe

Common: vpn client.lnk -> C:\Programme\VPN Client\vpngui.exe

Common: hp digital imaging monitor.lnk -> C:\PROGRA~1\HP\DIGITA~1\bin\hpqtra08.exe

Personal: desktop.ini
 

HOSTS

-----

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP

# für Windows 2000 verwendet wird.

#

# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.

# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-

# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen

# Hostnamen stehen.

# Die IP-Adresse und der Hostname müssen durch mindestens ein

# Leerzeichen getrennt sein.

#

# Zusätzliche Kommentare (so wie in dieser Datei) können in

# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,

# aber müssen mit dem Zeichen '#' eingegeben werden.

#

# Zum Beispiel:

#

#      102.54.94.97     rhino.acme.com          # Quellserver

#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1 localhost

eScan-Ergebnis (habe in Deiner Signatur nichts gefunden, daher nach einem anderen Post die Software angewendet)

Code:

Datei C:\Programme\BearShareZangoInstaller.exe/clientax.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.ao". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP2\A0000036.exe//UPX infiziert durch den Virus "Trojan-Proxy.Win32.Agent.kj"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei C:\QooBox\Quarantine\C\WINDOWS\csrss.exe.vir//UPX infiziert durch den Virus "Trojan-Proxy.Win32.Agent.kj"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei C:\My Downloads\BB FlashBack Player Share Accelerator.zip/ShareAcceleratorMM_SS0502.EXE//WISE0015.BIN//data0015//data0005 markiert als "not-a-virus:AdWare.Win32.Shopper.k". Maßnahme ergriffen: Keine Maßnahme ergriffen.

undoreal

19.05.2008 15:52

Sauge nie wieder über P2P Netzwerke! :zzwhip:

Ist die Systemwiederherstellung deaktiviert?

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mjy0mthybjrp/avenger.bmp

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

Files to delete:

C:\Programme\BearShare.exe

C:\Programme\BSZ.exe

C:\Programme\BearShareZangoInstaller.exe

C:\Programme\Webstats.bat

C:\Programme\Webstats.ini

C:\Programme\Webstats.exe

C:\Programme\RunMSC.dll

C:\Programme\History.txt

C:\Programme\BSidle.dll

C:\Programme\UNWISE.EXE

C:\WINDOWS\system32\CF8475.exe

C:\WINDOWS\csrss.exe

C:\Programme\Bearshare

C:\Programme\BearSharePro

C:\Programme\Azureus

C:\My Downloads\BB FlashBack Player Share Accelerator.zip
 

Folders to delete:

C:\WINDOWS\uninstall

Da werden einige Fehler drinn sein weil einige Dateien schon gelöscht wurden aber ich hatte keine Lust die auszusortieren. ;)

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Die SASW Quarantäne kannst du löschen. Räume danach mit cCleaner auf und mache einen Scan mit Anti-Malware (Signatur).

Führe danach einen erneuten escan durch: MWAV ;) Poste das log!

foxylady

19.05.2008 19:42

Hallo undoreal,

habe alles gemacht und werde auch P2Ps nicht mehr installieren :heilig:.

Hier sind die Logs:

Avenger

Code:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Mon May 19 17:19:36 2008
 

17:19:36: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Mon May 19 17:20:14 2008
 

17:20:14: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Mon May 19 17:22:01 2008
 

17:22:01: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 2)

Mon May 19 17:22:30 2008
 

17:22:30: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

h**p://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

File "C:\Programme\BearShare.exe" deleted successfully.

File "C:\Programme\BSZ.exe" deleted successfully.

File "C:\Programme\BearShareZangoInstaller.exe" deleted successfully.

File "C:\Programme\Webstats.bat" deleted successfully.

File "C:\Programme\Webstats.ini" deleted successfully.

File "C:\Programme\Webstats.exe" deleted successfully.

File "C:\Programme\RunMSC.dll" deleted successfully.

File "C:\Programme\History.txt" deleted successfully.

File "C:\Programme\BSidle.dll" deleted successfully.

File "C:\Programme\UNWISE.EXE" deleted successfully.

File "C:\WINDOWS\system32\CF8475.exe" deleted successfully.
 

Error:  file "C:\WINDOWS\csrss.exe" not found!

Deletion of file "C:\WINDOWS\csrss.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error: "C:\Programme\Bearshare" is a folder, not a file!

Deletion of file "C:\Programme\Bearshare" failed!

Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)

  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory
 
 

Error: "C:\Programme\BearSharePro" is a folder, not a file!

Deletion of file "C:\Programme\BearSharePro" failed!

Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)

  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory
 
 

Error: "C:\Programme\Azureus" is a folder, not a file!

Deletion of file "C:\Programme\Azureus" failed!

Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)

  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory
 

File "C:\My Downloads\BB FlashBack Player Share Accelerator.zip" deleted successfully.

Folder "C:\WINDOWS\uninstall" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

MWAV

Code:

Datei C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP2\A0000036.exe//UPX infiziert durch den Virus "Trojan-Proxy.Win32.Agent.kj"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei C:\System Volume Information\_restore{F0BA463B-75A5-41D6-A0D6-9974E0302D48}\RP3\A0000462.exe/clientax.dll markiert als "not-a-virus:AdWare.Win32.180Solutions.ao". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Datei C:\QooBox\Quarantine\C\WINDOWS\csrss.exe.vir//UPX infiziert durch den Virus "Trojan-Proxy.Win32.Agent.kj"!  Maßnahme ergriffen: Keine Maßnahme ergriffen.

Internet ist heute noch nicht abgestürzt. Kann das schon an Deiner Hilfe liegen?

LG Nadja

undoreal

20.05.2008 06:29

Zitat:

Internet ist heute noch nicht abgestürzt. Kann das schon an Deiner Hilfe liegen?

^^ ich wills hoffen..

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mjy0mthybjrp/avenger.bmp

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code:

Folders to delete:

C:\Programme\Bearshare

C:\Programme\BearSharePro

C:\Programme\Azureus

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Das MWAV Ergebnis verstehe ich nicht so ganz. Gehe bitte sicher, dass die Systemwiederherstellung deaktiviert ist und poste die Bestätigung hier.

Und erstelle bitte ein log so wie es in der Anleitung beschrieben wird. ;)
Dafür musst du das original log mit Hilfe der find.bat auswerten. ;)

foxylady

22.05.2008 18:08

Hallo undoreal,

heute konnte ich endlich weitermachen.

Avenger

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Folder "C:\Programme\Bearshare" deleted successfully.

Folder "C:\Programme\BearSharePro" deleted successfully.

Folder "C:\Programme\Azureus" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

MWAV

Code:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Header 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

find.bat Version 2008.03.07 
 

Microsoft Windows XP [Version 5.1.2600]

Bootmodus: Normal 

  

eScan Version: 9.8.7 

Sprache: German 

C:\DOKUME~1\*****\LOKALE~1\Temp\MWAV.LOG

 

 

 

~~~~~~~~~~~ 

Dateien 

~~~~~~~~~~~ 

~~~~ Infected files 

~~~~~~~~~~~ 

Datei C:\QooBox\Quarantine\C\WINDOWS\csrss.exe.vir//UPX infiziert durch den Virus "Trojan-Proxy.Win32.Agent.kj"!  Maßnahme ergriffen: Keine Maßnahme ergriffen. 

~~~~~~~~~~~ 

~~~~ Tagged files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Offending files 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

~~~~ Spyware (Vorsicht: Oft Fehlalarm!) 

~~~~~~~~~~~ 

Scannen Spyware: Deaktiviert 

** {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} = C:\Programme\SUPERAntiSpyware\SASSEH.DLL 

Result: ERROR!!! File C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 05-19-2008 - 04-52-44.SBU: Scanning Failure!!! 

~~~~~~~~~~~ 

Ordner 

~~~~~~~~~~~ 

~~~~~~~~~~~ 

Registry 

~~~~~~~~~~~ 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Diverses 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

~~~~~~~~~~~~~~~~~~~~~~ 

laufende Prozesse - commandline 

~~~~~~~~~~~~~~~~~~~~~~ 

System Idle Process - 

System - 

smss.exe - \SystemRoot\System32\smss.exe

csrss.exe - 

winlogon.exe - winlogon.exe

services.exe - C:\WINDOWS\system32\services.exe

lsass.exe - C:\WINDOWS\system32\lsass.exe

svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe - 

svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe - 

svchost.exe - 

spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe

anbmServ.exe - C:\Acer\eManager\anbmServ.exe

cvpnd.exe - "C:\Programme\VPN Client\cvpnd.exe"

Explorer.EXE - C:\WINDOWS\Explorer.EXE

fbguard.exe - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe -s

svchost.exe - C:\WINDOWS\system32\svchost.exe -k hpdevmgmt

svchost.exe - C:\WINDOWS\System32\svchost.exe -k HPZ12

pg_ctl.exe - 

svchost.exe - C:\WINDOWS\System32\svchost.exe -k HPZ12

svchost.exe - C:\WINDOWS\system32\svchost.exe -k imgsvc

postgres.exe - 

postgres.exe - 

postgres.exe - 

postgres.exe - 

postgres.exe - 

postgres.exe - 

fbserver.exe - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe -s

SOUNDMAN.EXE - "C:\WINDOWS\SOUNDMAN.EXE" 

AGRSMMSG.exe - "C:\WINDOWS\AGRSMMSG.exe" 

Rundll32.exe - "C:\WINDOWS\system32\Rundll32.exe" SiSPower.dll,ModeAgent

Keyhook.exe - "C:\WINDOWS\system32\keyhook.exe" 

PCMService.exe - "C:\Programme\Arcade\PCMService.exe" 

qttask.exe - "C:\Programme\QuickTime\qttask.exe" -atboottime

opwareSE2.exe - "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" 

hpwuSchd2.exe - "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" 

jusched.exe - "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" 

CTFMON.EXE - "C:\WINDOWS\system32\ctfmon.exe" 

alg.exe - 

SUPERAntiSpyware.exe - "C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" 

sistray.exe - "C:\WINDOWS\system32\sistray.exe" 

svchost.exe - C:\WINDOWS\System32\svchost.exe -k h**pFilter

hpqtra08.exe - "C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" 

wscntfy.exe - C:\WINDOWS\system32\wscntfy.exe

Monitor.exe - C:\Programme\acer\eRecovery\Monitor.exe

hpqste08.exe - "C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe" -CtxID "#Hewlett-Packard#HP Officejet J5700 Series#1207410405" -Startup

avant.exe - "C:\Programme\Avant Browser\avant.exe" 

PokerTracker.exe - "D:\Poker\PokerTracker 3\PokerTracker.exe" 

PokerTracker.exe - "D:\Poker\PokerTracker 3\PokerTracker.exe" 

postgres.exe - 

postgres.exe - 

postgres.exe - 

postgres.exe - 

Acrobat.exe - "C:\Programme\Adobe\Acrobat 6.0\Acrobat\Acrobat.exe" /o

WISPTIS.EXE - "C:\WINDOWS\system32\WISPTIS.EXE" -Embedding

WINWORD.EXE - "C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE" 

postgres.exe - 

postgres.exe - 

postgres.exe - 

cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\*****\Eigene Dateien\Virus\find.bat" "

cscript.exe - cscript C:\escan\prclst.vbs //nologo 

wmiprvse.exe - 

~~~~~~~~~~~~~~~~~~~~~~ 

Scanfehler 

~~~~~~~~~~~~~~~~~~~~~~ 

ERROR!!! Invalid Entry  = C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk (in key Software\Microsoft\Internet Explorer\Extensions\{13C1DBF6-7535-495c-91F6-8C13714ED485}). No Action Taken. 

ERROR!!! Invalid Entry  = C:\Programme\Poker\PartyPoker\PartyCasino\RunCasino.exe (in key Software\Microsoft\Internet Explorer\Extensions\{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D}). No Action Taken. 

ERROR!!! Invalid Entry SynTPLpr = REM C:\Programme\Synaptics\SynTP\SynTPLpr.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. 

ERROR!!! Invalid Entry SynTPEnh = REM C:\Programme\Synaptics\SynTP\SynTPEnh.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. 

ERROR!!! Invalid Entry NeroCheck = REM C:\WINDOWS\system32\NeroCheck.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. 

ERROR!!! Invalid Entry \??\C:\ComboFix\catchme.sys in SYSTEM\CurrentControlSet\Services\catchme... 

ERROR!!! Invalid Entry C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe in SYSTEM\CurrentControlSet\Services\de_serv... 

ERROR!!! Invalid Entry system32\DRIVERS\wanatw4.sys in SYSTEM\CurrentControlSet\Services\wanatw... 

ERROR!!! ScanFile fails for C:\i386\DRIVER.CAB 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\DEFAULT 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SOFTWARE 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SYSTEM 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\spool\drivers\w32x86\3\hpzst4x6.dll 

ERROR!!! ScanFile fails for C:\WINDOWS\system32\spool\drivers\w32x86\hpofficejet_j5700_se4c62\hpzst4x6.dll 

ERROR!!! ScanFile fails for C:\WINDOWS\SoftwareDistribution\Download\5a795c359050b7ba890a37136f7a699028a954b6 

ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 

ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 

ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG 

ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\ntuser.dat 

ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 

ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 

ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG 

ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\ntuser.dat 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\ntuser.dat 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\NTUSER~1.LOG 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\EIGENE~1\Ebay\AGKART~1\FUSSBA~1\UERDIN~1\Thumbs.db 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\EIGENE~1\Thumbs.db 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\mops02.tla 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\mops02.img 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\AG.tla 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\AG.img 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\*****m.tla 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\*****m.img 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\*****m.tlb 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\TURBOL~2\*****m.imb 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\Poker\POKERT~1.EXE 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\Virus\mwav.exe 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\EIGENE~1\Thumbs.db 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\Temp\Acr2E.tmp 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\Temp\Acr2F.tmp 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\Temp\Acr32.tmp 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\Temp\Acr33.tmp 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\Temp\Acr35.tmp 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\Temp\~WRS0000.tmp 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 

ERROR!!! ScanFile fails for C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Office\Zuletzt verwendet\Adobe Acrobat Professional 6.0 ???.doc.LNK 

Result: ERROR!!! File C:\Dokumente und Einstellungen\*****\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 05-19-2008 - 04-52-44.SBU: Scanning Failure!!! 

ERROR!!! ScanFile fails for C:\DOKUME~1\*****\ANWEND~1\SUPERA~1.COM\SUPERA~1\QUARAN~1\QUARAN~1.SBU 

ERROR!!! ScanFile fails for C:\DOKUME~1\postgres\NTUSER.DAT 

ERROR!!! ScanFile fails for C:\DOKUME~1\postgres\NTUSER~1.LOG 

ERROR!!! ScanFile fails for C:\DOKUME~1\postgres\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat 

ERROR!!! ScanFile fails for C:\DOKUME~1\postgres\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG 

ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\VBA\VBA6\1031\VBLR6.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\1031\OWCVBA10.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\11\1031\OWCVBA11.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\Java\Update\BASEIM~1\J2RE14~1.2-B\core3.zip 

ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\Java\Update\BASEIM~1\JRE160~1.B10\core1.zip 

ERROR!!! ScanFile fails for C:\PROGRA~1\GEMEIN~1\Java\Update\BASEIM~1\JRE160~1.B10\core3.zip 

ERROR!!! ScanFile fails for C:\Programme\MSN\MSNCoreFiles\Install\MSN9Components\Msncli.exe 

ERROR!!! ScanFile fails for C:\Programme\Real\RealPlayer\realplay.chm 

ERROR!!! ScanFile fails for C:\PROGRA~1\POSTGR~1\8.3\PGADMI~1\docs\en_US\pgadmin3.chm 

ERROR!!! ScanFile fails for C:\Programme\PostgreSQL\8.3\doc\postgresql.chm 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\ACMAIN11.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\VBAAC10.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\XLMAIN11.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\OLFM10.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\OLMAIN11.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\OFMAIN11.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\PBMAIN10.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\PPMAIN10.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\VBAOF11.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\WDMAIN11.CHM 

ERROR!!! ScanFile fails for C:\PROGRA~1\MICROS~2\OFFICE11\1031\XMLSDK5.CHM 

ERROR!!! ScanFile fails for C:\Programme\ScanSoft\OmniPageSE2.0\opprobra.chm 

ERROR!!! ScanFile fails for C:\Programme\ScanSoft\OmniPageSE2.0\opproeng.chm 

ERROR!!! ScanFile fails for C:\Programme\ScanSoft\OmniPageSE2.0\opprofre.chm 

ERROR!!! ScanFile fails for C:\Programme\ScanSoft\OmniPageSE2.0\opproger.chm 

ERROR!!! ScanFile fails for C:\Programme\ScanSoft\OmniPageSE2.0\opproita.chm 

ERROR!!! ScanFile fails for C:\Programme\ScanSoft\OmniPageSE2.0\opprospa.chm 

ERROR!!! ScanFile fails for C:\PROGRA~1\CAMTAS~1\CAMTAS~1.CHM 

ERROR!!! ScanFile fails for C:\Programme\Java\j2re1.4.2\lib\rt.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\j2re1.4.2\lib\plugin.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\j2re1.4.2\lib\charsets.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\j2re1.4.2\javaws\javaws.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\charsets.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\deploy.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\javaws.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\jsse.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\plugin.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\resources.jar 

ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\rt.jar 

ERROR!!! ScanFile fails for C:\Recycled\Dc2.exe 

ERROR!!! ScanFile fails for C:\pagefile.sys 

ERROR!!! ScanFile fails for C:\hiberfil.sys 

Result: ERROR!!! File C:\Avenger\backup-05.22.2008-13.38.11.95.zip: Scanning Failure!!! 

ERROR!!! ScanFile fails for C:\Avenger\backup-05.22.2008-13.38.11.95.zip 

Result: ERROR!!! File C:\Avenger\backup.zip: Scanning Failure!!! 

ERROR!!! ScanFile fails for C:\Avenger\backup.zip 

ERROR!!! ScanFile fails for D:\Poker\POKERE~1\PokerEV.exe 

ERROR!!! ScanFile fails for D:\Poker\POKERS~1\THREAD~1\TITAN_~1.RAR\TITAN_~1.RAR 

ERROR!!! ScanFile fails for D:\Poker\POKERS~1\THREAD~2\NL100_~1.ZIP\NL100_~1.ZIP 

ERROR!!! ScanFile fails for D:\Poker\POKERS~1\THREAD~2\NL50__~1.ZIP\NL50__~1.ZIP 

ERROR!!! ScanFile fails for D:\Poker\POKERS~1\THREAD~3\NL100_~2\NL100_~1.ZIP 

ERROR!!! ScanFile fails for D:\Poker\POKERS~1\THREAD~4\NL100_~1\NL100_~1.RAR 

ERROR!!! ScanFile fails for D:\Poker\POKERS~1\TH9E0A~1\MANSIO~1\PL.zip 

ERROR!!! ScanFile fails for D:\Poker\POKERT~2\POKERT~1.EXE 

~~~~~~~~~~~~~~~~~~~~~~ 

Hosts-Datei 

~~~~~~~~~~~~~~~~~~~~~~ 

DataBasePath: %SystemRoot%\System32\drivers\etc 

Zeilen die nicht dem Standard entsprechen: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Statistiken: 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Zahl der gescannten Objekte: 96506 

Zahl der kritischen Objekte: 1 

Zahl der desinfizierten Objekte: 0 

Zahl der umbenannten Dateien: 0 

Zahl der gelöschten Objekte: 0 

Zahl der Fehler: 11 

Zeit verstrichen: 04:52:10 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Scan-Optionen 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Speicherüberprüfung: Aktiviert 

Registrierungsdatenbank-Überprüfung: Aktiviert 

Überprüfung des Startordners: Aktiviert 

Überprüfung des Systemordners: Aktiviert 

Überprüfung der Systembereiche: Deaktiviert 

Überprüfung der Dienste: Aktiviert 

Überprüfung der Laufwerke: Deaktiviert 

Überprüfung aller Laufwerke:Aktiviert 

Überprüfung der Ordner: Deaktiviert 

 

Batchstart: 18:52:44.64 

Batchende: 18:54:11.37

Systemwiederherstellung war doch nicht deaktiviert :Boogie:. Habe ich aber vor dem Scan gemacht.

Freue mich auf Deine Rückmeldung.

Schönen Abend,
Nadja

undoreal

22.05.2008 21:24

Jo, das sieht doch super aus. Wenn du keine Probleme mehr hast bist du entlassen.. :)

foxylady

22.05.2008 21:56

Prima. Vielen Dank für Deine Hilfe. War echt super. :aplaus::aplaus:

Alle Zeitangaben in WEZ +1. Es ist jetzt 16:32 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132