Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte Logfile durchsehen - benötige eure Hilfe (https://www.trojaner-board.de/55607-bitte-logfile-durchsehen-benoetige-hilfe.html)

fred2008 09.07.2008 13:37
Bitte Logfile durchsehen - benötige eure Hilfe
 
Leider bin ich keine Ober-PC-User! Irgendwie habe ich mir beim Surfen gröbere Quälgeister eingefangen. Nun muss ich an euch gelangen, da ihr ganz offensichtlich euer Handwerk versteht, wie ich gelesen habe.
SDFix wurde bereits schon verwendet. Der Bluescreen mit der Meldung "Warning! Spyware detectec on your computer" konnte dadurch bekämpft werden. Doch Combofix lief nicht zu Ende!!! Wie ich im Nachhinein in weiteren Foren lesen musste, sollte Combofix nicht auf eigene Faust verwendet werden. Ich wollte wohl wieder einmal die Schlacht alleine gewinnen. Ich scheute mich, Profis wie euch mit meinen albernen Belangen zu langweilen. Nun hoffentlich wird sich dies nicht rächen und zähle nun auf euer Können.

Besten Dank schon für die Unterstützung.


Ich versuche nun mein Hijackthis Log zu posten:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:24, on 2008-07-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE
C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
C:\Programme\Panda Software\Panda Internet Security 2007\WebProxy.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavBckPT.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {72DB85F3-447D-4ACA-AD13-9DC3FB0A1995} - C:\WINDOWS\system32\iifcCrrp.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {79BD0CD6-576D-443A-9DE0-6550350C6343} - C:\WINDOWS\system32\geBTnOec.dll (file missing)
O2 - BHO: (no name) - {B917065E-EA83-4771-870A-B8E085C5E439} - C:\WINDOWS\system32\ssQkLDsQ.dll (file missing)
O2 - BHO: (no name) - {CE95E68D-F007-4A38-8428-C1B78147F5C5} - C:\WINDOWS\system32\geBqRlKA.dll (file missing)
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [SMrhcvkgj0epe5] C:\Programme\rhcvkgj0epe5\rhcvkgj0epe5.exe
O4 - HKLM\..\Run: [08ec2193] rundll32.exe "C:\WINDOWS\system32\adboiavn.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} -
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) -
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://h**p://acs.pandasoftware.com/.../as2stubie.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - h**p://w*w.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://w*w.update.microsoft.c...?1204568978115
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7802 bytes

schrauber 09.07.2008 18:21
Hi und :hallo:

Here we go :).


Kannst Du auf Deinem Computer alles sehen?
Im Windows-Explorer >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.


================================================

Starte Hijackthis, klicke do a system scan only und setze vor folgende Kästchen einen Haken:

Code:
O2 - BHO: (no name) - {72DB85F3-447D-4ACA-AD13-9DC3FB0A1995} - C:\WINDOWS\system32\iifcCrrp.dll (file missing)
O2 - BHO: (no name) - {79BD0CD6-576D-443A-9DE0-6550350C6343} - C:\WINDOWS\system32\geBTnOec.dll (file missing)
O2 - BHO: (no name) - {B917065E-EA83-4771-870A-B8E085C5E439} - C:\WINDOWS\system32\ssQkLDsQ.dll (file missing)
O2 - BHO: (no name) - {CE95E68D-F007-4A38-8428-C1B78147F5C5} - C:\WINDOWS\system32\geBqRlKA.dll (file missing)
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [SMrhcvkgj0epe5] C:\Programme\rhcvkgj0epe5\rhcvkgj0epe5.exe
O4 - HKLM\..\Run: [08ec2193] rundll32.exe "C:\WINDOWS\system32\adboiavn.dll",b
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
Unbekannt
O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) -
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://h**p://acs.pandasoftware.com/.../as2stubie.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - h**p://w*w.nanoscan.com/as/cabs/ascstubie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://w*w.update.microsoft.c...?1204568978115
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://fpdownload2.macromedia...sh/swflash.cab
        O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
Schliesse Deinen Webbrowser und klicke nun auf fix checked.

=================================================

Lösche, falls noch vorhanden, das SDFix.

=================================================
  • Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
  • Starte deinen Rechner neu auf, in den abgesicherten Modus.
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

==================================================

Scanne Dein System mit Malwarebytes Antimalware, lasse alle Funde löschen und poste das Log.

==================================================

lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.



gruß

schrauber

fred2008 09.07.2008 20:13
Besten Dank für dein Antwortschreiben Schrauber. Ich werde deine Anweisungen umsetzen und mich dann wieder melden.

Gruss fred2008:kloppen:

fred2008 09.07.2008 21:30
Salü Schrauber

Hier nun alle files ...
Part one
Report.txt nach SDFix


SDFix: Version 1.204
Run by *** on 2008-07-09 at 21:38

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\***\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\PPHCRK~1.EXE - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-09 22:09:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="PAVWAIT.DLL"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"LoadAppInit_DLLs"=dword:00000001

scanning hidden files ...

C:\WINDOWS\system32\muweb.dll 207736 bytes executable
C:\WINDOWS\Temp\PAV2.tmp
C:\WINDOWS\KB951748.log 4289 bytes
C:\WINDOWS\LastGood
C:\WINDOWS\LastGood\INF
C:\WINDOWS\LastGood\INF\oem238.inf 0 bytes
C:\WINDOWS\LastGood\INF\oem238.PNF 0 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"E:\\Games\\UT2004\\System\\UT2004.exe"="E:\\Games\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Hardware\\Game Voice\\GameVoice.exe"="C:\\Programme\\Microsoft Hardware\\Game Voice\\GameVoice.exe:*:Enabled:Game Voice"
"C:\\Programme\\Private Tax Internet ZH\\ZH2004\\Private Tax 2004 Internet.EXE"="C:\\Programme\\Private Tax Internet ZH\\ZH2004\\Private Tax 2004 Internet.EXE:*:Enabled:FileMaker Pro Runtime"
"E:\\Games\\Ubi Soft\\Splinter Cell Pandora Tomorrow\\pandora.exe"="E:\\Games\\Ubi Soft\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:pandora"
"C:\\Programme\\The All-Seeing Eye\\eye.exe"="C:\\Programme\\The All-Seeing Eye\\eye.exe:*:Enabled:The All-Seeing Eye"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Programme\\Zattoo\\Zattoo1.exe"="C:\\Programme\\Zattoo\\Zattoo1.exe:*:Enabled: "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\DOKUME~1\***\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Fri 16 May 2008 11,270 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Sat 5 Mar 2005 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 4 Apr 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Mon 31 May 2004 7,680 A..H. --- "C:\Programme\DJBCP PROJECT TEAM\DJBCP Codec Pack\Pegasys Tmpgenc Xpress\pdx-t3xp.exe"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT3.tmp"
Sat 5 Mar 2005 4,348 ...H. --- "C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Thu 17 Nov 2005 20 A..H. --- "C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Thu 17 Nov 2005 400 A.SH. --- "C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Wed 2 Feb 2005 8 A..H. --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GTek\GTUpdate\AUpdate\Channels\ch1\lock.tmp"

Finished!



HiJackThis Logfile nach SDFix

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21, on 2008-07-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavBckPT.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} -
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5895 bytes

fred2008 09.07.2008 21:31
Part two

main.txt nach SDFix


Deckard's System Scanner v20071014.68
Run by Manfred on 2008-07-09 22:23:33
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
34: 2008-07-09 20:23:39 UTC - RP574 - Deckard's System Scanner Restore Point
33: 2008-07-09 11:40:14 UTC - RP573 - ComboFix created restore point
32: 2008-07-08 17:32:41 UTC - RP572 - ComboFix created restore point
31: 2008-07-07 13:22:41 UTC - RP571 - Removed Ad-Aware 2008
30: 2008-07-05 15:12:18 UTC - RP570 - Systemprüfpunkt


-- First Restore Point --
1: 2008-07-04 11:41:28 UTC - RP541 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Manfred.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:25, on 2008-07-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavBckPT.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\Manfred.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
F2 - REG:system.ini: UserInit=C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} -
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5942 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20080709-210736-127 O2 - BHO: (no name) - {CE95E68D-F007-4A38-8428-C1B78147F5C5} - C:\WINDOWS\system32\geBqRlKA.dll (file missing)
backup-20080709-210736-230 O4 - HKLM\..\Run: [08ec2193] rundll32.exe "C:\WINDOWS\system32\adboiavn.dll",b
backup-20080709-210736-239 O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/cabs/ascstubie.cab
backup-20080709-210736-362 O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/actives.../as2stubie.cab
backup-20080709-210736-504 O2 - BHO: (no name) - {72DB85F3-447D-4ACA-AD13-9DC3FB0A1995} - C:\WINDOWS\system32\iifcCrrp.dll (file missing)
backup-20080709-210736-590 O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
backup-20080709-210736-732 O2 - BHO: (no name) - {B917065E-EA83-4771-870A-B8E085C5E439} - C:\WINDOWS\system32\ssQkLDsQ.dll (file missing)
backup-20080709-210736-764 O4 - HKLM\..\Run: [SMrhcvkgj0epe5] C:\Programme\rhcvkgj0epe5\rhcvkgj0epe5.exe
backup-20080709-210736-860 O16 - DPF: {19E28AFC-EAE3-4CE5-AC83-2407B42F57C9} (MSSecurityAdvisor Class) -
backup-20080709-210736-899 O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} -
backup-20080709-210736-942 O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
backup-20080709-210736-952 O2 - BHO: (no name) - {79BD0CD6-576D-443A-9DE0-6550350C6343} - C:\WINDOWS\system32\geBTnOec.dll (file missing)
backup-20080709-210737-147 O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) -
backup-20080709-210737-328 O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} -
backup-20080709-210737-365 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1204568978115
backup-20080709-210737-782 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 netflt (Panda Net Driver.) - c:\windows\system32\drivers\netflt.sys <Not Verified; Panda Software International; Panda Residents>
R3 catchme - c:\dokume~1\***\lokale~1\temp\catchme.sys (file missing)
R3 PavTPK.sys - c:\windows\system32\pavtpk.sys (file missing)
R3 WDC_SAM (WD SCSI Pass Thru driver) - c:\windows\system32\drivers\wdcsam.sys <Not Verified; Western Digital Technologies; WD External Storage>

S2 nvtvSND (nVidia WDM TVAudio Crossbar) - c:\windows\system32\drivers\nvtvsnd.sys (file missing)
S3 ALCXSENS (Service for WDM 3D Audio Driver) - c:\windows\system32\drivers\alcxsens.sys <Not Verified; Sensaura Ltd; >
S3 AvFlt (Antivirus Filter Driver) - c:\windows\system32\drivers\av5flt.sys (file missing)
S3 NuVision (Hauppauge WinTV USB Pro (PAL B/G)) - c:\windows\system32\drivers\nuvision.sys <Not Verified; Hauppauge Computer Works; WinTV USB>
S3 PavSRK.sys - c:\windows\system32\pavsrk.sys (file missing)
S3 SE27bus (Sony Ericsson Device 039 Driver driver (WDM)) - c:\windows\system32\drivers\se27bus.sys <Not Verified; MCCI; Sony Ericsson Device 039 Driver>
S3 SE27mdfl (Sony Ericsson Device 039 USB WMC Modem Filter) - c:\windows\system32\drivers\se27mdfl.sys <Not Verified; MCCI; Sony Ericsson Device 039 USB WMC Modem Filter Driver>
S3 SE27mdm (Sony Ericsson Device 039 USB WMC Modem Driver) - c:\windows\system32\drivers\se27mdm.sys <Not Verified; MCCI; Sony Ericsson Device 039 USB WMC Data Modem>
S3 SE27mgmt (Sony Ericsson Device 039 USB WMC Device Management Drivers (WDM)) - c:\windows\system32\drivers\se27mgmt.sys <Not Verified; MCCI; Sony Ericsson Device 039 USB WMC Device Management>
S3 se27nd5 (Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (NDIS)) - c:\windows\system32\drivers\se27nd5.sys <Not Verified; MCCI; Sony Ericsson Device 039 USB Ethernet Emulation>
S3 SE27obex (Sony Ericsson Device 039 USB WMC OBEX Interface) - c:\windows\system32\drivers\se27obex.sys <Not Verified; MCCI; Sony Ericsson Device 039 USB WMC OBEX Interface>
S3 se27unic (Sony Ericsson Device 039 USB Ethernet Emulation SEMC39 (WDM)) - c:\windows\system32\drivers\se27unic.sys <Not Verified; MCCI; Sony Ericsson Device 039 USB Ethernet Emulation>
S3 USBVSP - c:\windows\system32\drivers\usbvsp.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

S3 PACSPTISVR - c:\programme\gemeinsame dateien\sony shared\avlib\pacsptisvr.exe <Not Verified; ; PACSPTISVR Module>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: 1394-Netzwerkadapter
Device ID: V1394\NIC1394\E220D5508D00
Manufacturer: Microsoft
Name: 1394-Netzwerkadapter #2
PNP Device ID: V1394\NIC1394\E220D5508D00
Service: NIC1394


-- Scheduled Tasks -------------------------------------------------------------

2008-07-09 22:09:59 322 --ah----- C:\WINDOWS\Tasks\MP Scheduled Scan.job
2008-07-04 19:51:04 386 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job


-- Files created between 2008-06-09 and 2008-07-09 -----------------------------

2008-07-09 22:14:44 0 d-------- C:\WINDOWS\LastGood
2008-07-09 14:24:05 0 d-------- C:\Programme\Trend Micro
2008-07-09 13:40:50 0 d-------- C:\cmdcons
2008-07-08 19:31:30 68096 --a------ C:\WINDOWS\zip.exe
2008-07-08 19:31:30 49152 --a------ C:\WINDOWS\VFind.exe
2008-07-08 19:31:30 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-07-08 19:31:30 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-07-08 19:31:30 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-07-08 19:31:30 98816 --a------ C:\WINDOWS\sed.exe
2008-07-08 19:31:30 80412 --a------ C:\WINDOWS\grep.exe
2008-07-08 19:31:30 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-07-08 19:30:53 2604325 --a------ C:\ComboFix.exe
2008-07-08 19:00:58 0 d-------- C:\WINDOWS\ERUNT
2008-07-08 18:54:58 1446793 --a------ C:\SDFix.exe
2008-07-08 18:48:16 88576 --a------ C:\WINDOWS\system32\adboiavn.dll
2008-07-05 12:22:49 0 d-------- C:\Programme\shctkgj0epe5
2008-07-04 13:37:57 0 d-------- C:\Programme\rhcvkgj0epe5
2008-07-04 13:36:58 28288 --a------ C:\WINDOWS\system32\khfcaaAs.dll


-- Find3M Report ---------------------------------------------------------------

2008-07-07 15:23:12 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-04 13:45:15 0 d-------- C:\Programme\Panda Security
2008-07-04 13:38:10 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5
2008-07-03 14:45:16 0 d-------- C:\Programme\Winamp
2008-05-16 15:57:48 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.Kanton ZH
2008-05-16 15:49:10 0 d-------- C:\Programme\WebCam
2008-05-16 11:34:14 11270 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-05-13 10:13:10 0 d-------- C:\Programme\Lavasoft


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WD Button Manager"="WDBtnMgr.exe" [2008-02-02 15:44 C:\WINDOWS\system32\WDBtnMgr.exe]
"SCANINICIO"="C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe" [2007-07-11 16:17]
"APVXDWIN"="C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.exe" [2007-07-23 19:30]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 21:03]
"POINTER"="point32.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\regedit /s C:\pav.reg,C:\WINDOWS\system32\pavdr.exe,C:\WINDOWS\system32\userinit.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll 2007-02-15 21:02 50736 C:\WINDOWS\system32\avldr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RunDLL32.exe NvMCTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" -hide
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
"POINTER"=point32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp




-- End of Deckard's System Scanner: finished at 2008-07-09 22:25:56 ------------

fred2008 09.07.2008 21:34
Part three

extra.txt nach SDFix


Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm) 64 Processor 3000+
Percentage of Memory in Use: 43%
Physical Memory (total/avail): 1023.48 MiB / 578.25 MiB
Pagefile Memory (total/avail): 3995.52 MiB / 3659.04 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1906.72 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 15.72 GiB total, 3.34 GiB free.
D: is Fixed (NTFS) - 58.83 GiB total, 45.54 GiB free.
E: is Fixed (NTFS) - 74.56 GiB total, 36.94 GiB free.
F: is CDROM (No Media)
G: is CDROM (No Media)
H: is Fixed (NTFS) - 149.05 GiB total, 112.83 GiB free.
I: is Fixed (FAT32) - 465.65 GiB total, 245.79 GiB free.

\\.\PHYSICALDRIVE1 - SAMSUNG SP8004H - 74.56 GiB - 1 partition
\PARTITION0 - Installierbares Dateisystem - 74.56 GiB - E:

\\.\PHYSICALDRIVE0 - SAMSUNG SP8004H - 74.56 GiB - 2 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 15.72 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 58.83 GiB - D:

\\.\PHYSICALDRIVE3 - WD My Book IEEE 1394 SBP2 Device - 465.76 GiB - 1 partition
\PARTITION0 (bootable) - Unknown - 465.76 GiB - I:

\\.\PHYSICALDRIVE2 - SAMSUNG SP1614C SCSI Disk Device - 149.05 GiB - 1 partition
\PARTITION0 - Installierbares Dateisystem - 149.05 GiB - H:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is disabled.

AV: Panda Internet Security 2008 v12.00.00 (Panda Security) Disabled Outdated

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\\Games\\UT2004\\System\\UT2004.exe"="E:\\Games\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft Hardware\\Game Voice\\GameVoice.exe"="C:\\Programme\\Microsoft Hardware\\Game Voice\\GameVoice.exe:*:Enabled:Game Voice"
"C:\\Programme\\Private Tax Internet ZH\\ZH2004\\Private Tax 2004 Internet.EXE"="C:\\Programme\\Private Tax Internet ZH\\ZH2004\\Private Tax 2004 Internet.EXE:*:Enabled:FileMaker Pro Runtime"
"E:\\Games\\Ubi Soft\\Splinter Cell Pandora Tomorrow\\pandora.exe"="E:\\Games\\Ubi Soft\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:pandora"
"C:\\Programme\\The All-Seeing Eye\\eye.exe"="C:\\Programme\\The All-Seeing Eye\\eye.exe:*:Enabled:The All-Seeing Eye"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Zattoo\\zattood.exe"="C:\\Programme\\Zattoo\\zattood.exe:*:Enabled:zattood"
"C:\\Programme\\Zattoo\\Zattoo1.exe"="C:\\Programme\\Zattoo\\Zattoo1.exe:*:Enabled: "


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\Manfred\Anwendungsdaten
CLASSPATH=.;C:\Programme\Java\jre1.6.0_01\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=WALDER-PC
ComSpec=C:\WINDOWS\system32\cmd.exe
DEFAULT_CA_NR=CA6
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\***
LOGONSERVER=\\WALDER-PC
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\PROGRAMME\GEMEINSAME DATEIEN\TELECA SHARED;C:\Programme\Panda Software\Panda Internet Security 2007;C:\Programme\QuickTime\QTSystem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 8, AuthenticAMD
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0408
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\jre1.6.0_01\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\***\LOKALE~1\Temp
USERDOMAIN=***-PC
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

*** (admin)
Gast (guest)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> MsiExec.exe /X{2642BE09-1F9F-4E18-AAD4-0258B9BCE611}
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Reader 7.0.7 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
Adobe® Photoshop® Album Starter Edition 3.0 --> MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}
AntivirXP08 --> "C:\Programme\rhcvkgj0epe5\uninstall.exe"
Battlefield 1942 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}\setup.exe" -l0x7
Canon IXY 320, PowerShot S230, IXUS v3 WIA-Treiber --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{E1CDCB03-A90F-4A74-BE8C-CD3AF43190CA}
Disc2Phone --> MsiExec.exe /I{6E65247F-58F9-41CA-BE69-0316F7907170}
Disc2Phone --> MsiExec.exe /I{FFAB5ABB-8AAB-42E2-847F-1743E51E01E9}
DivX --> C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX ;-) Audio Compressor 4.02 --> C:\WINDOWS\system32\rundll32.exe setupapi,InstallHinfSection Remove_DivX 132 C:\WINDOWS\INF\DivXAudioCompressor4.02.inf
DJBCP Codec Pack --> MsiExec.exe /I{92C21836-C06B-42DB-8DAE-949177FED545}
Doom 3 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe /M{EEFB15EB-FE8B-47DF-A496-1C4D1420294A}
eMule --> "C:\Programme\eMule\Uninstall.exe"
Feurio! CD-Writer --> "C:\Programme\Feurio\Feurio_Uninstall.exe"
Half-Life --> C:\WINDOWS\IsUninst.exe -fe:\Games\SIERRA\Half-Life\Uninst.isu -c"e:\Games\SIERRA\Half-Life\HLUNINST.DLL"
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs --> MsiExec.exe /X{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
hp officejet g series --> C:\WINDOWS\system32\hpocon09.exe /u 1107381436 /d "hp officejet g series"
ICQ --> C:\PROGRA~1\ICQ\ICQUninstall.EXE
InterVideo WinCoder --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{2BAB1020-A03C-11D4-86F6-0001031E5712}\setup.exe" REMOVEALL
iPIX ActiveX Viewer --> C:\WINDOWS\ipUninst.exe C:\WINDOWS\Unwise.exe /a C:\WINDOWS\Downloaded Program Files\IPIXActX.log, Uninstall iPIX ActiveX Viewer
iTunes --> MsiExec.exe /I{3592F5CB-B524-43AA-92F2-2377268199CC}
Java(TM) 6 Update 2 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Java(TM) SE Runtime Environment 6 Update 1 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160010}
Logitech Print Service --> C:\PROGRA~1\Logitech\PRINTS~1\UNWISE.EXE C:\PROGRA~1\Logitech\PRINTS~1\INSTALL.LOG
Logitech QuickCam --> MsiExec.exe /X{7D2370AC-D8E6-4996-986A-19824F8A167C}
Logitech® Camera-Treiber --> "C:\Programme\Gemeinsame Dateien\Logitech\QCDRV\BIN\SETUP.EXE" UNINSTALL REMOVEPROMPT
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
MP3-DJ 7.9.0 --> C:\Programme\MP3-DJ\unins000.exe
MP3 WAV Converter 3.26 --> C:\PROGRA~1\MP3WAV~1\UNWISE.EXE C:\PROGRA~1\MP3WAV~1\INSTALL.LOG
MSN Toolbar --> C:\Programme\MSN Toolbar\01.01.2607.0\msgr.de.de-ch\mtbs.exe c
Nero - Burning Rom --> MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
Nimo Codecs Pack v5.0 (Remove Only) --> "C:\Programme\NimoCodec Pack\uninstall.exe"
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
NVIDIA WDM Drivers --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B023185F-F1EF-4F97-B0BD-AE6D802226D1}\Setup.exe"
OpenMG Limited Patch 3.4-03-12-16-01 --> C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\HotFixes\HotFix3.4-03-12-16-01\HotFixSetup\setup.exe /u
OpenMG Secure Module 3.4.00 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{657DD6DA-B07B-40FF-9DBD-2116F7E83CF6}\setup.exe" -l0x7 UNINSTALL
Panda ActiveScan --> C:\WINDOWS\system32\ASUninst.exe Panda ActiveScan
Panda ActiveScan 2.0 --> C:\Programme\Panda Security\ActiveScan 2.0\as2uninst.exe
Panda Internet Security 2008 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EEBA9416-3207-47E0-9022-116440599DBC}\SETUP.EXE" -l0x7 -removeonly
Panda TotalScan --> C:\Programme\Panda Security\TotalScan\ascuninst.exe
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe" -uninstall
***
QuickTime --> MsiExec.exe /I{08094E03-AFE4-4853-9D31-6D0743DF5328}
RealPlayer --> C:\Programme\Gemeinsame Dateien\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" -l0x7 -removeonly
Registry Clean Expert --> "C:\Programme\Registry Clean Expert\unins000.exe"
Security Update for CAPICOM (KB931906) --> MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
Security Update for CAPICOM (KB931906) --> MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}

fred2008 09.07.2008 21:35
Part four

Zweiter Teil von extra.txt


Sicherheitsupdate für Windows XP (KB883939) --> "C:\WINDOWS\$NtUninstallKB883939$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896688) --> "C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588) --> "C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB903235) --> "C:\WINDOWS\$NtUninstallKB903235$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905915) --> "C:\WINDOWS\$NtUninstallKB905915$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911567) --> "C:\WINDOWS\$NtUninstallKB911567$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912812) --> "C:\WINDOWS\$NtUninstallKB912812$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446) --> "C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB916281) --> "C:\WINDOWS\$NtUninstallKB916281$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917159) --> "C:\WINDOWS\$NtUninstallKB917159$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918439) --> "C:\WINDOWS\$NtUninstallKB918439$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918899) --> "C:\WINDOWS\$NtUninstallKB918899$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920214) --> "C:\WINDOWS\$NtUninstallKB920214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) --> "C:\WINDOWS\$NtUninstallKB921503$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922760) --> "C:\WINDOWS\$NtUninstallKB922760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689) --> "C:\WINDOWS\$NtUninstallKB923689$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925486) --> "C:\WINDOWS\$NtUninstallKB925486$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB929123) --> "C:\WINDOWS\$NtUninstallKB929123$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB937894) --> "C:\WINDOWS\$NtUninstallKB937894$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941202) --> "C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950749) --> "C:\WINDOWS\$NtUninstallKB950749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950760) --> "C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB950762) --> "C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951376-v2) --> "C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB951698) --> "C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
SideWinder Game Voice --> MsiExec.exe /I{49162FE8-25D2-4E64-BFF7-157514496778}
Sierra Utilities --> C:\Programme\Sierra On-Line\sutil32.exe uninstall
Skype 3.1 --> "C:\Programme\Skype\Phone\unins000.exe"
SonicStage 2.0.02 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{71D6CE84-B7DC-4166-8E0D-56C1C37BFB5A}\setup.exe" -l0x9 UNINSTALL
Sony Ericsson PC Suite 1.20.224 --> MsiExec.exe /I{7689CA7A-1270-425A-9959-EB4CB25EA29A}
Splinter Cell Pandora Tomorrow --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{084A9731-D05B-4ADA-B4A0-0ADD25FD7152}\Setup.exe" -l0x7
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
sunrise mediaplayer 1.0.15 --> C:\WINDOWS\iun6002.exe "C:\Programme\sunrise mediaplayer\irunin.ini"
SWAT 4 Single Player Demo --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{F2CA85EF-D86E-4F4C-99E7-8ED7AA18E7B8} uninstall
Tom Clancy's Rainbow Six 3: Athena Sword 1.02.003 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{664FF9A8-7E44-4E17-AD40-D10E15504C49}\setup.exe" -l0x7
Tom Clancy's Rainbow Six 3: Raven Shield 1.56.393 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{AF131494-F5D8-45C5-938C-D5F020CF1B0D}\setup.exe" -l0x7
Tom Clancy's Splinter Cell --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A174402A-2EE6-4B86-A930-7BC85A9933BD}\setup.exe" -l0x7
TuneUp Utilities 2008 --> MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
*** --> C:\WINDOWS\uninst.exe -f"C:\Programme\***\***\DeIsL1.isu" -c"C:\Programme\UBS e-banking\UBSPay\_ISREG32.DLL"
*** 5.0.002 (build 1, OFX) --> MsiExec.exe /X{417FF40A-2792-4E99-B190-C26BA77C68E0}
Unreal Tournament 2003 --> E:\Games\UT2003\System\Setup.exe uninstall "UT2003"
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB896727) --> "C:\WINDOWS\$NtUninstallKB896727$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942) --> "C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920342) --> "C:\WINDOWS\$NtUninstallKB920342$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB929338) --> "C:\WINDOWS\$NtUninstallKB929338$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB931836) --> "C:\WINDOWS\$NtUninstallKB931836$\spuninst\spuninst.exe"
Update für Windows XP (KB932823-v3) --> "C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Update für Windows XP (KB933360) --> "C:\WINDOWS\$NtUninstallKB933360$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
VIA Integrated Setup Wizard --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{9497EBAA-87AD-41E6-8ED6-E1E52995A76C}
VideoLAN VLC media player 0.7.2 --> C:\Programme\VideoLAN\VLC\uninstall.exe
Waver Version 2.92 (w*w.Softonic.com) --> C:\Programme\Flop\Waver\unins000.exe
WD Diagnostics --> MsiExec.exe /X{0AB76F69-E761-4CFA-B9B0-A1906B4E9E4B}
WDCSAM Driver --> MsiExec.exe /X{E064390A-2F64-4195-9A55-30D4B20B865A}
WebCam 4.00 Personal Edition --> C:\Programme\WebCam\unins000.exe
Winamp --> "C:\Programme\Winamp\UninstWA.exe"
Windows Defender --> MsiExec.exe /I{A06275F4-324B-4E85-95E6-87B2CD729401}
Windows Driver Package - Western Digital Technologies (WDC_SAM) WDC_SAM (12/05/2006 1.0.0007.0) --> rundll32.exe C:\PROGRA~1\DIFX\7AA84A78695B31A503D9537A76801D74E0FD14BD\DIFxAppA.dll, DIFxARPUninstallDriverPackage C:\WINDOWS\system32\DRVSTORE\wdcsam_8A1D0449E9CBCC93DCB0CF47934D695423632CA7\wdcsam.inf
Windows Live Messenger --> MsiExec.exe /I{279DB581-239C-4E13-97F8-0F48E40BE75C}
Windows Live Sign-in Assistant --> MsiExec.exe /I{22B3CC30-77B8-419C-AA4B-F571FDF5D66D}
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB834707 --> C:\WINDOWS\$NtUninstallKB834707$\spuninst\spuninst.exe
Windows XP-Hotfix - KB867282 --> C:\WINDOWS\$NtUninstallKB867282$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890047 --> C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890175 --> C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB890923 --> "C:\WINDOWS\$NtUninstallKB890923$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893066 --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB893086 --> "C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe
Zattoo 3.0.5 beta --> C:\Programme\Zattoo\uninst.exe
Zoom Player (remove only) --> "C:\Programme\Zoom Player\uninstall.exe"


-- Application Event Log -------------------------------------------------------

Event Record #/Type3979 / Error
Event Submitted/Written: 07/09/2008 02:38:39 PM
Event ID/Source: 5000 / MPSampleSubmission
Event Description:
EventType mptelemetry, P1 80070422, P2 updateservicemanager-_get_services, P3 fallbackcheck, P4 1.1.1593.0, P5 mpsigdwn.dll, P6 1.1.1593.0, P7 windows defender, P8 NIL, P9 mptelemetry0, P10 mptelemetry1.

Event Record #/Type3977 / Error
Event Submitted/Written: 07/09/2008 02:19:14 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung rhcvkgj0epe5.exe, Version 0.0.0.0, fehlgeschlagenes Modul rhcvkgj0epe5.exe, Version 0.0.0.0, Fehleradresse 0x00044019.
Das medienspezifische Ereignis für [rhcvkgj0epe5.exe!ws!] wird verarbeitet.

Event Record #/Type3974 / Error
Event Submitted/Written: 07/09/2008 01:33:06 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung rhcvkgj0epe5.exe, Version 0.0.0.0, fehlgeschlagenes Modul rhcvkgj0epe5.exe, Version 0.0.0.0, Fehleradresse 0x00044019.
Das medienspezifische Ereignis für [rhcvkgj0epe5.exe!ws!] wird verarbeitet.

Event Record #/Type3972 / Error
Event Submitted/Written: 07/09/2008 01:18:10 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung rhcvkgj0epe5.exe, Version 0.0.0.0, fehlgeschlagenes Modul rhcvkgj0epe5.exe, Version 0.0.0.0, Fehleradresse 0x00044019.
Das medienspezifische Ereignis für [rhcvkgj0epe5.exe!ws!] wird verarbeitet.

Event Record #/Type3968 / Error
Event Submitted/Written: 07/08/2008 11:40:25 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung rhcvkgj0epe5.exe, Version 0.0.0.0, fehlgeschlagenes Modul rhcvkgj0epe5.exe, Version 0.0.0.0, Fehleradresse 0x00044019.
Das medienspezifische Ereignis für [rhcvkgj0epe5.exe!ws!] wird verarbeitet.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type43725 / Error
Event Submitted/Written: 07/09/2008 10:07:30 PM
Event ID/Source: 7000 / Service Control Manager
Event Description:
Der Dienst "nVidia WDM TVAudio Crossbar" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Event Record #/Type43721 / Error
Event Submitted/Written: 07/09/2008 09:35:19 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD
AmdPPM
Fips
IPSec
MRxSmb
NetBIOS
NetBT
pavboot
RasAcd
Rdbss
ShldDrv
Tcpip
WS2IFSL

Event Record #/Type43720 / Error
Event Submitted/Written: 07/09/2008 09:35:19 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31

Event Record #/Type43719 / Error
Event Submitted/Written: 07/09/2008 09:35:19 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "Umgebung für die AFD-Netzwerkunterstützung" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31

Event Record #/Type43718 / Error
Event Submitted/Written: 07/09/2008 09:35:19 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31



-- End of Deckard's System Scanner: finished at 2008-07-09 22:25:56 ------------

schrauber 09.07.2008 21:53
Hi,

Und wo ist das Log von Malwarebytes Antimalware? Das solltest du vor dss ausführen, damit im dss-log nur noch die relevanten Dateien zu finden sind. Bitte nachholen :)


gruß

schrauber

fred2008 10.07.2008 09:19
Ups, war wohl schon spät. Das ist mir leider entfallen. Bin soeben daran, dies nachzuholen - sorry.

Bis später ...

fred2008 10.07.2008 09:59
Logfile nach MalwareBytes


Malwarebytes' Anti-Malware 1.20
Datenbank Version: 935
Windows 5.1.2600 Service Pack 2

10:58:36 2008-07-10
mbam-log-7-10-2008 (10-58-36).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|H:\|I:\|)
Objekte gescannt: 115581
Scan Dauer: 38 minute(s), 9 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 13
Infizierte Dateien: 24

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\rhcvkgj0epe5 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\shctkgj0epe5 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\rhcvkgj0epe5\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\adboiavn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvaiobda.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\PCHealthCenter\4.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\evdq.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ssQkLDsQ.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0081219.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0081220.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0081251.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082250.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082261.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP570\A0082301.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082458.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0082584.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083534.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083543.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\rhcvkgj0epe5.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcvkgj0epe5\rhcvkgj0epe5.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfcaaAs.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

fred2008 10.07.2008 10:05
main.txt nach MalwareBytes


Deckard's System Scanner v20071014.68
Run by *** on 2008-07-10 11:03:19
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as ***.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:03, on 2008-07-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
C:\WINDOWS\system32\WDBtnMgr.exe
C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Panda Software\Panda Internet Security 2007\PavBckPT.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} -
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\psimsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Software\Panda Internet Security 2007\TPSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5892 bytes

-- Files created between 2008-06-10 and 2008-07-10 -----------------------------

2008-07-10 10:17:27 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-09 14:24:05 0 d-------- C:\Programme\Trend Micro
2008-07-09 13:40:50 0 d-------- C:\cmdcons
2008-07-08 19:31:30 68096 --a------ C:\WINDOWS\zip.exe
2008-07-08 19:31:30 49152 --a------ C:\WINDOWS\VFind.exe
2008-07-08 19:31:30 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-07-08 19:31:30 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-07-08 19:31:30 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-07-08 19:31:30 98816 --a------ C:\WINDOWS\sed.exe
2008-07-08 19:31:30 80412 --a------ C:\WINDOWS\grep.exe
2008-07-08 19:31:30 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-07-08 19:30:53 2604325 --a------ C:\ComboFix.exe
2008-07-08 19:00:58 0 d-------- C:\WINDOWS\ERUNT
2008-07-08 18:54:58 1446793 --a------ C:\SDFix.exe


-- Find3M Report ---------------------------------------------------------------

2008-07-10 10:17:31 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-07-07 15:23:12 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-04 13:45:15 0 d-------- C:\Programme\Panda Security
2008-07-03 14:45:16 0 d-------- C:\Programme\Winamp
2008-05-16 15:57:48 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\.Kanton ZH
2008-05-16 15:49:10 0 d-------- C:\Programme\WebCam
2008-05-16 11:34:14 11270 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2008-05-13 10:13:10 0 d-------- C:\Programme\Lavasoft


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WD Button Manager"="WDBtnMgr.exe" [2008-02-02 15:44 C:\WINDOWS\system32\WDBtnMgr.exe]
"SCANINICIO"="C:\Programme\Panda Software\Panda Internet Security 2007\Inicio.exe" [2007-07-11 16:17]
"APVXDWIN"="C:\Programme\Panda Software\Panda Internet Security 2007\APVXDWIN.exe" [2007-07-23 19:30]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-08-02 21:03]
"POINTER"="point32.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll 2007-02-15 21:02 50736 C:\WINDOWS\system32\avldr.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RunDLL32.exe NvMCTray.dll,NvTaskbarInit
"nwiz"=nwiz.exe /install
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" -hide
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
"POINTER"=point32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp




-- End of Deckard's System Scanner: finished at 2008-07-10 11:03:56 ------------

fred2008 10.07.2008 10:06
Nach DSS erschien nur der main.txt. Vom extra.txt war weit und breit keine Spur!!!

Gruss fred2008

schrauber 10.07.2008 16:58
Hi,

das ist normal, die extra.txt kommt nur beim ersten Start, oder über nen speziellen Aufruf, das ist nicht schlimm :).

Auswertung folgt heut Abend, jetzt hab ich Tennis-Training :D


gruß

schrauber

schrauber 10.07.2008 21:18
Hi,

Wann hast Du denn Combofix laufen lassen?? Hatte ich gar nicht angeordnet...

Poste mir bitte, wenn vorhanden, die C:\Combofix.txt

Mache anschließend einen Onlinescan, und zwar so:

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.
  • Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
    Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
    Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
    => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
    => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
    => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
    => Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
    => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen




gruß

schrauber

fred2008 11.07.2008 11:40
Hallo

Vielen Dank für deine Bemühungen. Das wegen dem ComboFix habe ich bereits am Anfang erwähnt. Ich hielt mich fähig die Lösung selbst herbeizuführen und liess nach SDFix den Combofix laufen - ohne professionelle Hilfe!!!! Das wahr wohl nicht so gut, wie ich hinterher lesen musste.
Der Combofix lief bevor du mir zu helfen begingst. Eine txt. habe ich unter C: nicht gefunden. Doch im Ordner Combofix war eine. Leider ist diese nicht wirklich aufschlussreich. Ich poste sie dir trotzdem:

ComboFix 08-07-08.5 - *** 2008-07-09 13:41:08.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.618 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.


Die restlichen Anordnungen werde ich nun befolgen und ausführen.



Es grüsst dich
fred2008


PS: Wie wars beim Tennis spielen?

fred2008 11.07.2008 11:56
Hey Schrauber

Welche Antiviren-Software empfiehlst du?
Vor etwa drei Jahren schaffte ich mir auf Anraten Panda Internet Security an. Seither habe ich immer einen Update / ein Neuprogramm davon in Verwendung. Ich habe jedoch das Gefühl, dass Panda nicht mehr so effektiv ist wie es einmal war.

fred2008 11.07.2008 14:37
Hey Schrauber

Kaspersky online ist durch. Hier das Logfile:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 11. Juli 2008 15:30:55
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 11/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 840309
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 82916
Viren gefunden: 4
Infizierte Objekte gefunden: 34
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:45:43

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-04042007-143324.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sentinel\2.1\gwhashs.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip/antiviirus.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudCgp.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs.zip/okmdepgb.dll Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs1.zip/nqgpedlr.dll Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs1.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs2.zip/okmdepgb.dll_old Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs2.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs3.zip/nqgpedlr.dll_old Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs3.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloadervcd1.zip/axrfgvek.dll_old Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\ZlobDownloadervcd1.zip ZIP: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\10f85aa-406e5fa2/Beyond.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\10f85aa-406e5fa2/BlackBox.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\10f85aa-406e5fa2 ZIP: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-78d6a057-605d477f.zip/Beyond.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-78d6a057-605d477f.zip/BlackBox.class Infizierte Objekte: Exploit.Java.ByteVerify übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-78d6a057-605d477f.zip ZIP: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Perflib_Perfdata_66c.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071120080712\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Panda Software\Panda Internet Security 2007\AntiSpam\MshConf\scoffset.bin.incr Das Objekt ist gesperrt übersprungen
C:\Programme\Panda Software\Panda Internet Security 2007\f4d4851e8935eebef0f2eb52b3212bc9PSK_NAMES Das Objekt ist gesperrt übersprungen
C:\Programme\Panda Software\Panda Internet Security 2007\f4d4851e8935eebef0f2eb52b3212bc9PSK_NAMES2 Das Objekt ist gesperrt übersprungen
C:\QooBox\Quarantine\C\Programme\tmp0.exe.vir Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\QooBox\Quarantine\C\Programme\tmp1.exe.vir Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\QooBox\Quarantine\C\Programme\tmp2.exe.vir Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082256.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082262.dll Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082263.dll Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082264.dll Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082478.dll Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082480.exe Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082481.dll Infizierte Objekte: Trojan.Win32.StartPage.bir übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082504.dll Infizierte Objekte: Trojan.Win32.StartPage.bir übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082511.dll Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082515.exe Infizierte Objekte: Trojan.Win32.Vapsup.hsq übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083530.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083531.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083532.exe Infizierte Objekte: Trojan-Downloader.Win32.Agent.vgp übersprungen
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP577\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\CSC\00000001 Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{AB5A9DE7-AC43-4E25-B10C-A1951ABA6E77}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
H:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

schrauber 11.07.2008 17:02
Hi,

Ich empfehle immer Antivir, ist schön schnell und hat gute Erkennungsraten.


So gehts weiter:

Dateien mit OTMoveIt verschieben Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere das Programm auf Deinem Desktop.
  • Doppelklick auf die OTMoveIt2.exe, um das Programm auszuführen.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTMoveIT-Box mit dem gelben Titel (Paste List Of Files/Folders to Move)
    Code:


    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
    C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deploym ent\cache
    C:\QooBox



  • Einen Haken setzen bei "Unregister Dll's and Ocx's"
  • Den roten Moveit! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren oder
  • den Inhalt der Datei C:\_OTMoveIt\MovedFiles\<datum_nr.>.log kopieren und das Ergebnis in Deine nächste Antwort posten.
  • Die Dateien und/oder Ordner werden nach C:\_OTMoveIt\MovedFiles\ verschoben.
  • Schließe OTMoveIt
Sollte eine Datei oder ein Ordner nicht verschoben werden können, wirst Du eventuell aufgefordert, den PC neuzustarten damit der Prozess abgeschlossen werden kann. Sollte dies der Fall sein, bestätige das mit Ja.


Ersetze bitte in dem Script die *** durch den Namen, den Du editiert hast :)


gruß

schrauber


P.S.: Tennis war wie immer schweißtreibend :D

fred2008 12.07.2008 17:09
Hoi Schrauber

Ich hoffe, das stimmt so ...


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery moved successfully.
< C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deploym ent\cache >
File/Folder C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deploym ent\cache not found.
C:\QooBox\Quarantine\Registry_backups moved successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32 moved successfully.
C:\QooBox\Quarantine\C\WINDOWS\Resources moved successfully.
C:\QooBox\Quarantine\C\WINDOWS moved successfully.
C:\QooBox\Quarantine\C\Programme\PCHealthCenter moved successfully.
C:\QooBox\Quarantine\C\Programme moved successfully.
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0 moved successfully.
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media moved successfully.
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft moved successfully.
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten moved successfully.
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\***\Lokale Einstellungen moved successfully.
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\*** moved successfully.
C:\QooBox\Quarantine\C\Dokumente und Einstellungen moved successfully.
C:\QooBox\Quarantine\C moved successfully.
C:\QooBox\Quarantine moved successfully.
C:\QooBox\lastrun moved successfully.
C:\QooBox\BackEnv moved successfully.
C:\QooBox moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07122008_180110


Gruss fred2008

schrauber 12.07.2008 18:12
Zitat:
< C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deploym ent\cache >
File/Folder C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deploym ent\cache not found.
Hattest Du die *** durch den Namen ersetzt?? Bitte versuch es nochmal mit diesem einen Ordner.

gruß

schrauber

fred2008 13.07.2008 13:04
Liste der Anhänge anzeigen (Anzahl: 1)
Salü Schrauber

Den Namen hatte ich bei den mit *** versehen Stellen eingefügt, jedoch zum falschen Zeitpunkt. Irgendwie wurde es dann nicht richtig angenommen.

Nun beim zweiten Versuch kam folgende Error-Meldung > siehe Anhang.

Sorry für die mühsamen Umstände. Doch alles funktioniert leider nicht immer beim ersten Mal.

Gruss

schrauber 13.07.2008 13:34
Hi,

mache nun einen Onlinescan mit F-Secure.



gruß

schrauber

fred2008 14.07.2008 19:39
Hi Schrauber

Bin soeben beim F-Secure Scan. Habe ich einen grossen Bock beim OTMoveIt Part geschossen oder kommen wir damit klar.
Ich hoffe, du hast nicht schon wegen meinen schwachen IT-Kenntnissen resigniert. Die Bereinigung meines PC's muss ich leider immer wieder unterbrechen und so zwischendurch abwickeln. Da kann's schon mal passieren, dass ich was übersehe.

Wie war dein Weekend? Bei dem Regen blieb wohl nicht viel anderes übrig, als sich ein wenig vor dem PC oder der Flimmerkiste zu vergnügen. Indoor-Sport wäre natürlich auch noch was gewesen.

Gruss fred2008

schrauber 14.07.2008 19:51
Zitat:
Habe ich einen grossen Bock beim OTMoveIt Part geschossen oder kommen wir damit klar.
keine panik, passt schon :).

Wochenende war erholsam, hab glaub 24 Stunden am Stück am Pc gesessen :D.


gruß

schrauber

fred2008 14.07.2008 20:00
Das waren noch Zeiten, als ich sozusagen 24 Stunden vor dem Computer sass und online am Gamen war. Mittlerweilen ist der PC nur noch Mittel zum Zweck geworden. Das Zocken wäre wohl mit meiner sicher schon veralteten Kiste auch nicht mehr das Gelbe vom Ei. Ich werde mir wahrscheinlich mal eine Playstation beschaffen müssen, um überhaupt noch virtuelle Spiele geniessen zu können.
Tja, so ist der Wandel der Zeit halt. Doch es kann auch alles wieder ändern - wer weiss das schon.

Nun warten wir auf die Dinge, die da kommen. Zumindest einmal jene von F-Secure.

Greetings

schrauber 14.07.2008 20:02
Zitat:
Das waren noch Zeiten, als ich sozusagen 24 Stunden vor dem Computer sass und online am Gamen war
Ich werd jetzt zwar vielleicht ausgelacht, aber ich besitze kein einziges Spiel für den PC, hab auch noch nie eins gespielt, weder Off- noch Online :).

Ich arbeite nur mit dem Ding :D

fred2008 14.07.2008 20:25
Ich lache nicht ...
Was arbeitest / bearbeitest du mit dem PC? Programmierer? IT-Supporter? Oder ganz was anderes?

schrauber 14.07.2008 20:45
Ich mache das nur in meiner Freizeit, ich lungere in Foren rum und Prügel mich mit Malware :D

fred2008 14.07.2008 21:01
Quasi süchtig nach Erfolg bei der Bekämpfung des www-Missbrauchs. Ansonsten gibts dafür ja nicht wirklich viel. Ich stelle mir dies mühsam vor. Okay, man wird dadurch selbst zum gefährlichen Hacker und könnte andere überliste ... natürlich nur zum Spass hoffentlich.

Oder was ist dein Antrieb?

schrauber 14.07.2008 21:08
Hauptberuflich reparier ich Autos, seit Jahren nebenbei auch Pc´s. Malware war ein Thema was mich immer schon intressiert hat, also die Beseitigung.

Wie lange scant den F-Secure? ;)

fred2008 14.07.2008 21:38
Soeben wurde F-Secure fertig.
Hier das Logfile

Scanning Report
Monday, July 14, 2008 20:32:11 - 22:36:08
Computer name: ***
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\ H:\ I:\


--------------------------------------------------------------------------------

Result: 0 malware found

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 69561
System: 4991
Not scanned: 10
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 0
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SYSTEM32\CATROOT2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\CATDB
C:\WINDOWS\SYSTEM32\CATROOT2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\CATDB
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{AB5A9DE7-AC43-4E25-B10C-A1951ABA6E77}.BIN
E:\PAGEFILE.SYS

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-07-14
F-Secure AVP: 7.0.171, 2008-07-14
F-Secure Pegasus: 1.20.0, 2008-04-15
F-Secure Blacklight: 1.0.68
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

--------------------------------------------------------------------------------

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third parties that F-Secure World Wide Web pages have a link to. Unless you have clearly stated otherwise, by submitting material to any of our servers, for example by E-mail or via our F-Secure's CGI E-mail, you agree that the material you make available may be published in the F-Secure World Wide Pages or hard-copy publications. You will reach F-Secure public web site by clicking on underlined links. While doing this, your access will be logged to our private access statistics with your domain name.This information will not be given to any third party. You agree not to take action against us in relation to material that you submit. Unless you have clearly stated otherwise, by submitting material you warrant that F-Secure may incorporate any concepts described in it in the F-Secure products/publications without liability.

schrauber 14.07.2008 21:53
Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
  • Klicke auf den Button "CleanUp!"
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTMoveit fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.



Du bist sauber :daumenhoc



gruß

schrauber

fred2008 15.07.2008 15:45
Juhee Schrauber

Es hat so funktioniert, wie du es geschrieben hast. Und nun soll mein PC wieder sauber von unerwünschten Geistern sein? Keine Maleware, kein Virus, keine Trojaner etc. mehr auf der Kiste? Das wäre ja wohl einzigartig!

Dein Support war wirklich :daumenhoc

Vielen herzlichen Dank.
Ich hoffe, das ich nicht so bald wieder deine Hilfe beanspruchen und dich mit Arbeit belasten muss. Doch der Kontakt mit dir war sehr erfreulich für mich. Wenn dann aber doch wieder einmal ein böses Programm meinen PC infizieren sollte, dann wäre ich natürlich wieder froh, dich um Hilfe anfragen zu dürfen.

Wenn es dies nun war, wünsche ich dir bei deinem Hobby weiterhin viel Vergnügen und Befriedigung. Schau' auf dich und geniesse das Leben.

Freundliche Grüsse
fred2008

schrauber 15.07.2008 17:26
Hi,

Jepp, nach dem Stand der Technk, und den uns gegebenen Möglichkeiten aus der Ferne, bist du Sauber :).

Zitat:
Ich hoffe, das ich nicht so bald wieder deine Hilfe beanspruchen und dich mit Arbeit belasten muss.
Wenn dann aber doch wieder einmal ein böses Programm meinen PC infizieren sollte, dann wäre ich natürlich wieder froh, dich um Hilfe anfragen zu dürfen.
Kein Problem, wenn wieder was ist, weißt Du ja wo Du uns findest :).

Zitat:
Wenn es dies nun war, wünsche ich dir bei deinem Hobby weiterhin viel Vergnügen und Befriedigung. Schau' auf dich und geniesse das Leben.
Ja das war es :daumenhoc
Danke, mach ich. Das gleiche gilt natürlich auch für Dich :).


Viel Spass im Netz,


gruß

schrauber

fred2008 17.07.2008 12:41
Hoi Schrauber

Hier bin ich schon wieder. Kaum hatte ich AntiVir installiert, schon schlug es Alarm. Nachstehend das Logfile:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: 2008-07-16 21:55

Es wird nach 1461595 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***-PC

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 2008-04-09 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 2008-03-18 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 2008-01-30 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 2008-02-28 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 2008-02-19 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 2008-06-24 19:53:34
ANTIVIR2.VDF : 7.0.5.119 1264128 Bytes 2008-07-15 19:53:36
ANTIVIR3.VDF : 7.0.5.128 111104 Bytes 2008-07-16 19:53:37
Engineversion : 8.1.0.68
AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-02-25 09:58:21
AESCRIPT.DLL : 8.1.0.53 303481 Bytes 2008-07-16 19:53:46
AESCN.DLL : 8.1.0.23 119156 Bytes 2008-07-16 19:53:45
AERDL.DLL : 8.1.0.20 418165 Bytes 2008-07-16 19:53:45
AEPACK.DLL : 8.1.2.1 364917 Bytes 2008-07-16 19:53:44
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 2008-07-16 19:53:43
AEHEUR.DLL : 8.1.0.41 1339765 Bytes 2008-07-16 19:53:42
AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-07-16 19:53:41
AEGEN.DLL : 8.1.0.29 307573 Bytes 2008-07-16 19:53:40
AEEMU.DLL : 8.1.0.6 430451 Bytes 2008-07-16 19:53:39
AECORE.DLL : 8.1.0.33 168311 Bytes 2008-07-16 19:53:38
AVWINLL.DLL : 1.0.0.7 14593 Bytes 2008-01-23 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 2008-02-18 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 2008-01-23 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 2008-02-28 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 2008-01-23 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 2008-03-10 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 2008-03-06 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:, I:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: 2008-07-16 21:55

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PavBckPT.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WebProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SrvLoad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'point32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDBtnMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apvxdwin.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsImSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'pskmssvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PavPrSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAVFNSVR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PsCtrlS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVPrcSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPSrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVENGINE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PAVSRV51.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '39' Prozesse mit '39' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '39' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Win_XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\10f85aa-406e5fa2
[0] Archivtyp: ZIP
--> Beyond.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytverif.2
--> BlackBox.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytverif.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48e452dc.qua' verschoben!
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count3.jar-78d6a057-605d477f.zip
[0] Archivtyp: ZIP
--> Beyond.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytverif.2
--> BlackBox.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytverif.1
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.Bytverif.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48f3532c.qua' verschoben!
C:\Programme\Panda Security\TotalScan\pskavs.dll
[FUND] Enthält Erkennungsmuster des Windows-Virus W95/Blumblebee.1738
[HINWEIS] Die Datei wurde gelöscht.
C:\Programme\Panda Software\Panda Internet Security 2007\Pskavs.dll
[FUND] Enthält Erkennungsmuster des Windows-Virus W95/Blumblebee.1738
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG]
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0081215.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.WinAntiVirus.AA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece51.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0081218.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Agent.P
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece55.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0081224.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece5e.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0081250.exe
[FUND] Ist das Trojanische Pferd TR/PcHealth.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece65.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082256.exe
[FUND] Ist das Trojanische Pferd TR/Agent.18944.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece69.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082259.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece6c.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP569\A0082284.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.Agent.P
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece70.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082450.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.EZO
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece7c.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082463.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.EZO
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece84.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082474.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc695.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082475.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece86.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082479.exe
[FUND] Ist das Trojanische Pferd TR/PcHealth.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece85.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082481.dll
[FUND] Ist das Trojanische Pferd TR/BHO.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc696.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082504.dll
[FUND] Ist das Trojanische Pferd TR/BHO.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece87.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082508.dll
[FUND] Ist das Trojanische Pferd TR/Vundo.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc697.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082513.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece88.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP571\A0082521.exe
[FUND] Ist das Trojanische Pferd TR/PcHealth.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc699.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0082582.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.WinAntiVirus.Z
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece8a.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0082583.exe
[FUND] Ist das Trojanische Pferd TR/PcHealth.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc69b.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0082585.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.WinAntiVirus.AA
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece89.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083530.exe
[FUND] Ist das Trojanische Pferd TR/Agent.18944.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece8c.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083531.exe
[FUND] Ist das Trojanische Pferd TR/Agent.18944.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece8b.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083532.exe
[FUND] Ist das Trojanische Pferd TR/Agent.18944.Y
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc69c.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP572\A0083533.dll
[FUND] Ist das Trojanische Pferd TR/Downloader.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece8d.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP575\A0086650.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece92.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP575\A0086652.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc683.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP575\A0086653.DLL
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece93.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP575\A0086654.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc684.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP575\A0086655.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece95.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP575\A0086656.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Age.1642496
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aece94.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP575\A0086657.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '496dc685.qua' verschoben!
C:\System Volume Information\_restore{4D015B5E-287F-4F31-8F77-BFBB58886877}\RP583\A0086932.dll
[FUND] Enthält Erkennungsmuster des Windows-Virus W95/Blumblebee.1738
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48aecea8.qua' verschoben!
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Daten>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'H:\' <Volume>
Beginne mit der Suche in 'I:\' <My Book>


Ende des Suchlaufs: 2008-07-17 07:28
Benötigte Zeit: 9:33:17 min

Der Suchlauf wurde vollständig durchgeführt.

7954 Verzeichnisse wurden überprüft
427499 Dateien wurden geprüft
39 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
1 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
34 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
427460 Dateien ohne Befall
2314 Archive wurden durchsucht
3 Warnungen
35 Hinweise




Ich hoffe, du kannst damit etwas anfangen.

Es grüsst dich
fred2008

schrauber 19.07.2008 10:07
Hi,

Sorry war am feiern :D

Here we go:

Navigiere im Windows-Explorer zu diesem Ordner:

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deploym ent\cache

und leere ihn.

========================================================

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

=========================================================

Wechsle in den abgesicherten Modus und mach einen Komplettscan mit Antivir.



gruß

schrauber

fred2008 28.07.2008 15:22
Hoi Schrauber

Es hat ein wenig gedauert, doch nun habe ich deine Anweisung umgesetzt.

Hier das Logfile:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: 2008-07-24 11:47

Es wird nach 1493079 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: ***
Computername: ***-PC

Versionsinformationen:
BUILD.DAT : 8.1.0.326 16933 Bytes 2008-07-11 12:52:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 2008-07-20 16:44:25
AVSCAN.DLL : 8.1.4.0 48897 Bytes 2008-07-20 16:44:25
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-07-20 16:44:25
LUKERES.DLL : 8.1.4.0 12545 Bytes 2008-07-20 16:44:25
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 2008-06-24 19:53:34
ANTIVIR2.VDF : 7.0.5.144 1690624 Bytes 2008-07-21 19:17:39
ANTIVIR3.VDF : 7.0.5.158 121344 Bytes 2008-07-23 13:34:18
Engineversion : 8.1.1.11
AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-02-25 09:58:21
AESCRIPT.DLL : 8.1.0.59 307579 Bytes 2008-07-20 16:44:26
AESCN.DLL : 8.1.0.23 119156 Bytes 2008-07-16 19:53:45
AERDL.DLL : 8.1.0.20 418165 Bytes 2008-07-16 19:53:45
AEPACK.DLL : 8.1.2.1 364917 Bytes 2008-07-16 19:53:44
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 2008-07-20 16:44:26
AEHEUR.DLL : 8.1.0.43 1339767 Bytes 2008-07-20 16:44:26
AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-07-16 19:53:41
AEGEN.DLL : 8.1.0.29 307573 Bytes 2008-07-16 19:53:40
AEEMU.DLL : 8.1.0.6 430451 Bytes 2008-07-16 19:53:39
AECORE.DLL : 8.1.1.6 172405 Bytes 2008-07-20 16:44:26
AEBB.DLL : 8.1.0.1 53617 Bytes 2008-07-20 16:44:26
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-20 16:44:25
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-07-20 16:44:25
AVREP.DLL : 8.0.0.1 98561 Bytes 2008-07-23 13:34:21
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-07-20 16:44:25
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-07-20 16:44:25
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-07-20 16:44:26
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-20 16:44:19
RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-07-20 16:44:20

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: reparieren
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:, H:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: 2008-07-24 11:47

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'H:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '55' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Win_XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Panda Software\Panda Internet Security 2007\Pskavs.dll
[FUND] Enthält Erkennungsmuster des Windows-Virus W95/Blumblebee.1738
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 48f35525.qua erstellt ( QUARANTÄNE )
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Der Treiber konnte nicht initialisiert werden.
Beginne mit der Suche in 'D:\' <Programme>
Beginne mit der Suche in 'E:\' <Daten>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'H:\' <Volume>
H:\emule\Incoming\HipHop\Cut Killer & Dj Abdel - Hip Hop Soul Party 5 (128Kbps).ace
[0] Archivtyp: ACE
--> Hip Hop Soul Party 5\CD2 DJ Abdel\01 - DJ Abdel - Intro - It's For The Ladies.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Ende des Suchlaufs: 2008-07-24 13:45
Benötigte Zeit: 1:58:34 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7941 Verzeichnisse wurden überprüft
423897 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
423894 Dateien ohne Befall
2307 Archive wurden durchsucht
3 Warnungen
1 Hinweise


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130