Hallo zusammen,
ich habe gerade ein bischen im Forum gestöbert und bin ganz schön beeindruckt! Respekt, Respekt!!!
Es ist nicht selbstverständlich das auf Abruf geholfen wird und aus diesem Grund möchte ich schon mal den aktiveren Usern unter euch (bezieht sich auf weiblein und männlein) einen großen Lob aussprechen, schließlich handelt es sich hierbei nicht um einen kostenpflichtigen Support.
Seit gestern versuche ich hier nun meinen Glück und suche nach ähnliche Problemfälle. Auch wenn sich einiges identisch anhört, fehlt mir einfach der Mut es umzusetzen, die konsequenzen sind einfach zu groß.
Die u.s. Punkte (1-5) habe ich in der Reihenfolge kommentiert.
1. Was funktioniert nicht
2. Was habe ich unternommen
3. Protokoll Ad-Aware SE Professional
4. Protokoll Norton Internet Security (Antivirus)
5. Protokoll HijackThis
Was funktioniert nicht ?
Am Freitag habe ich den "Messenger Plus! 3" installiert, seitdem habe ich nur noch Probleme mit den I.e. . Beim starten des I.explores öffnet sich ein Fenster im unteren Bereich (ähnlich eine Toolbar) zum auswählen von verschiedene Dienstleistungen wie (music, make money, casino... etc.) dieses lässt sicht mehr schließen.
Auch habe ich festgestellt das mehrere "Malware" eine Internetkommunikation versucht (wird aber vom Ad-Watch abgefangen). Besonders lästig ist die Datei "evxpveitq.exe" die sich unter Windows verbirgt. Diese wird des öfteren von Norton abgefangen und das öffnen eines Fenters mit den Namen "Aurora" blockiert.
Was habe ich bisher unternommen ?
Einen vollständigen "scan" mit Ad-Aware SE Professional bestimmt schon um die 15 mal ausgeführt. Auch im abgesicherten Modus!! führten nicht zur vollständigen Bereinigung.
Einen scan während des Hochfahrens führt zu diesen ErgebnisProtokoll:
ArchiveData(auto-quarantine- 2005-05-16 11-52-09.bckp)
Referencefile : SE1R45 13.05.2005
======================================================
VX2
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Regkey : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora
obj[1]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUC3n5trMsgSDisp"
obj[2]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUL3a5stMotsSDay"
obj[3]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUL3a5stSSChckin"
obj[4]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUP3D5om"
obj[5]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUB3D5om"
obj[6]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUs3t5icky1S"
obj[7]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUs3t5icky2S"
obj[8]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUs3t5icky3S"
obj[9]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUs3t5icky4S"
obj[10]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUE3v5nt"
obj[11]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUT3h5rshSBath"
obj[12]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUT3h5rshSysSInf"
obj[13]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUT3h5rshSCheckSIn"
obj[14]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUT3h5rshSMots"
obj[15]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUL3n5Title"
obj[16]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AU3N5a7tionSCode"
obj[17]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUD3s5tSSEnd"
obj[18]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUC3u5rrentSMode"
obj[19]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUC3n5tFyl"
obj[20]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUM3o5deSSync"
obj[21]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUI3g5noreS"
obj[22]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUC1o3d5eOfSFinalAd"
obj[23]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUT3i5m7eOfSFinalAd"
obj[24]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUI3d5OfSInst"
obj[25]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUI3n5ProgSCab"
obj[26]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUI3n5ProgSEx"
obj[27]=RegValue : S-1-5-21-790525478-1659004503-725345543-1004\software\aurora "AUI3n5ProgSLstest"
obj[28]=RegValue : software\microsoft\internet explorer\toolbar\webbrowser "{0E5CBF21-D15F-11D0-8301-00AA005B4383}"
obj[29]=Datei : I:\WINDOWS\system32\yfddohn.exe
Das scannen mit Spybot-Search&Destroy blieb leider auch erfolglos.
Einen vollständigen Virusscan mit Norton I.S. 2005 konnte zwar einiges finden und löschen, allerdings nicht alles.
hier das Protokoll der risikobehafteten Dateien:
I:Windos\downloaded Program Files\m67m.ocx
I:Windows\NDuninstall5.64.exe (habe es löschen können)
I:Windows\NDuninstall6.38.exe (habe es löschen können)
I:Windows\stubinstaller4292.exe (habe es löschen können)
I:Windows\unstall.exe (habe es löschen können)
I:Windows\evxpveitq.exe
I:Windows\system32\wgjned.exe
Hier das Protokoll von HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 14:32:20, on 16.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
I:\WINDOWS\System32\GEARSec.exe
I:\Programme\Norton Internet Security\ISSVC.exe
I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
I:\WINDOWS\System32\svchost.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
I:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
I:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
I:\Programme\Skype\Phone\Skype.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Programme\Messenger\msmsgs.exe
I:\Dokumente und Einstellungen\joe\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tafekmnbtgtqvhzjlmy.net/8J_ihgvs ... uLjcd6.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:14000
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: (no name) - {98F2A62D-EF14-C5B1-B5DD-1A6BB003D7BA} - I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1\BendAudio.exe
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] I:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ccApp] "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMax] "I:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [New.net Startup] rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [AWMON] "I:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [evczwdiz] I:\WINDOWS\evczwdiz.exe
O4 - HKLM\..\Run: [2F4T38g] skeace.exe
O4 - HKLM\..\RunOnce: [AAW] "I:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "I:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Norton SystemWorks] "I:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Jov3RUMnR] sigrator.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://I:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://I:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with NetPumper - I:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://I:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://I:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://I:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/i ... e-c139.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} - http://goto.tria-com.net/html/TriacomUD_1.0.0.3ie.cab?
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} - http://www.eingang69.de/EroticAccess/ex ... pecial.ocx
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - I:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - I:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - I:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - I:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - I:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Den spezialisten unter euch die auf anhieb was erkennen können, bitte ich doch mir weiterzuhelfen.
Mit den besten Grüßen
delaforce
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Nach Inst. (Messenger Plus! 3) Probl. mit Internet explorer
9 Beiträge • Seite 1 von 1
von Nikita am 16.05.2005, 16:55
Hallo@delaforce
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tafekmnbtgtqvhzjlmy.net/8J_ihgvs ... uLjcd6.php
R3 - Default URLSearchHook is missing
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: (no name) - {98F2A62D-EF14-C5B1-B5DD-1A6BB003D7BA} - I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1\BendAudio.exe
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [evczwdiz] I:\WINDOWS\evczwdiz.exe
O4 - HKLM\..\Run: [2F4T38g] skeace.exe
O4 - HKCU\..\Run: [Jov3RUMnR] sigrator.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/i ... e-c139.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} - http://goto.tria-com.net/html/TriacomUD_1.0.0.3ie.cab?
????????????????????????
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} - http://www.eingang69.de/EroticAccess/ex ... pecial.ocx
PC neustarten
NewDotNet <---deinstallieren !!!!
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
I:Windos\downloaded Program Files\m67m.ocx
I:Windows\evxpveitq.exe
I:Windows\system32\wgjned.exe
I:Windows\system32\skeace.exe
I:Windows\system32\sigrator.exe
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1\BendAudio.exe
I:\WINDOWS\evczwdiz.exe
PC neustarten
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1 <--loeschen
CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp
-------------------------------------------------------------------------------------------------------------
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
•Gehe wieder in den Normalmodus:
•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
---------
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
-------------
•2.Log: (komplett)
HijackThis-->Config
<List also minor sections (full) -->Häkchen setzen
<List empty sections (complete) -->Häkchen setzen
HijackThis-->Config-->MiscTools-->Generate StartupListlog
-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
---------------
http://bilder.informationsarchiv.net/Ni ... _It__s.zip
1. Unzip/extract the files inside to a folder on your desktop.
2. Open the folder. Double click on FindIt's.bat and wait for Notepad to open a text file. It will take a while so please be patient ...
Poste bitte das Log vom Scann
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tafekmnbtgtqvhzjlmy.net/8J_ihgvs ... uLjcd6.php
R3 - Default URLSearchHook is missing
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O2 - BHO: (no name) - {98F2A62D-EF14-C5B1-B5DD-1A6BB003D7BA} - I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1\BendAudio.exe
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [evczwdiz] I:\WINDOWS\evczwdiz.exe
O4 - HKLM\..\Run: [2F4T38g] skeace.exe
O4 - HKCU\..\Run: [Jov3RUMnR] sigrator.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/i ... e-c139.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} - http://goto.tria-com.net/html/TriacomUD_1.0.0.3ie.cab?
????????????????????????
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} - http://www.eingang69.de/EroticAccess/ex ... pecial.ocx
PC neustarten
NewDotNet <---deinstallieren !!!!
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html
•Delete File on Reboot <--anhaken
und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
I:Windos\downloaded Program Files\m67m.ocx
I:Windows\evxpveitq.exe
I:Windows\system32\wgjned.exe
I:Windows\system32\skeace.exe
I:Windows\system32\sigrator.exe
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1\BendAudio.exe
I:\WINDOWS\evczwdiz.exe
PC neustarten
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1 <--loeschen
CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp
-------------------------------------------------------------------------------------------------------------
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
•Gehe wieder in den Normalmodus:
•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
---------
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
-------------
•2.Log: (komplett)
HijackThis-->Config
<List also minor sections (full) -->Häkchen setzen
<List empty sections (complete) -->Häkchen setzen
HijackThis-->Config-->MiscTools-->Generate StartupListlog
-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
---------------
http://bilder.informationsarchiv.net/Ni ... _It__s.zip
1. Unzip/extract the files inside to a folder on your desktop.
2. Open the folder. Double click on FindIt's.bat and wait for Notepad to open a text file. It will take a while so please be patient ...
Poste bitte das Log vom Scann
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von delaforce am 17.05.2005, 17:39
Hallo Nikita,
vorab besten Dank für Deine gelieferten Tipps.
Nachfolgend die Ergänzung der bisher durchgeführten Maßnahmen:
1.)Erledigt
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
2.)Erledigt
HijackThis gescannt, Häckchen gesetzt (auch bei ???) und gefixt
3.) Nicht Erledigt
NewDotNet <---deinstallieren !!!! ---> Nikita, das habe ich nicht hingekrieg, deswegen habe den Punkt übersprungen da ich keine Anwendung finden konnte.
4.) Erledigt, bin mir aber nicht sicher, siehe Kommentar
Killbox
I:Windos\downloaded Program Files\m67m.ocx (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:Windows\evxpveitq.exe
I:Windows\system32\wgjned.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:Windows\system32\skeace.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:Windows\system32\sigrator.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1\BendAudio.exe Erledigt
I:\WINDOWS\evczwdiz.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
5.)Erledigt
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1 <--loeschen
6.) Erledigt
CCleaner--> loesche alle *temp-Datein
7.) Erledigt
eScan-Erkennungstool--> Update über DOS und im abgesicherten Modus alle Dateien gescannt.
Die Logs werde ich nach Abschluß der noch fehlenden Bereinigungsmaßnahmen hier reinsetzen.
Schönen Dank und Gruß
delaforce
vorab besten Dank für Deine gelieferten Tipps.
Nachfolgend die Ergänzung der bisher durchgeführten Maßnahmen:
1.)Erledigt
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
2.)Erledigt
HijackThis gescannt, Häckchen gesetzt (auch bei ???) und gefixt
3.) Nicht Erledigt
NewDotNet <---deinstallieren !!!! ---> Nikita, das habe ich nicht hingekrieg, deswegen habe den Punkt übersprungen da ich keine Anwendung finden konnte.
4.) Erledigt, bin mir aber nicht sicher, siehe Kommentar
Killbox
I:Windos\downloaded Program Files\m67m.ocx (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:Windows\evxpveitq.exe
I:Windows\system32\wgjned.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:Windows\system32\skeace.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:Windows\system32\sigrator.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1\BendAudio.exe Erledigt
I:\WINDOWS\evczwdiz.exe (Datei nicht gefunden, also habe ich den Pfad reinkopiert)
5.)Erledigt
I:\DOKUME~1\joe\ANWEND~1\ENCGRI~1 <--loeschen
6.) Erledigt
CCleaner--> loesche alle *temp-Datein
7.) Erledigt
eScan-Erkennungstool--> Update über DOS und im abgesicherten Modus alle Dateien gescannt.
Die Logs werde ich nach Abschluß der noch fehlenden Bereinigungsmaßnahmen hier reinsetzen.
Schönen Dank und Gruß
delaforce
- delaforce
- Beiträge: 4
- Registriert: 15.05.2005, 18:25
von delaforce am 17.05.2005, 21:16
Nikita, ich bin 
geschokt!!
Mit der Befürchtung das Du mir als nächstes empfiehlst die Festplatte zu formatieren, bitte ich Dich (vom ganzen Herzen) bitte nicht.
Wie bereits im letzten post aufgeführt habe ich Deine empfohlenen Maßnamen umgesetzt. Leider kann ich nicht nach besten Wissen und Gewissen die korrekte Vorgehensweise bejaen.
Beispiele:
HiJackThis, obwohl Zeilen gefixt wurden, tauchen diese immer noch auf.
NewDotNet <---deinstallieren !!!! ---> aber wie ? Ich find das Program nicht, obwohl u.s. Fehleranzeige nach dem Startvorgang angezeigt wird.
-----------------------------------------------------------------------------------
RUNDLL
-----------------------------------------------------------------------------------
Fehler beim Laden von I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
Das angegebene Modul wurde nicht gefunden.
-----------------------------------------------------------------------------------
|OK|
-----------------------------------------------------------------------------------
In folgender Reihenfolge nun die Protokolle/Log´s:
1.) escan (nur infected files+Zusammenfassung und header)
2.) startlist HijackThis
3.) scan HijackThis
4.) Find_It_S Log
1.) escan
Mon May 16 19:45:21 2005 => **********************************************************
Mon May 16 19:45:21 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Mon May 16 19:45:21 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Mon May 16 19:45:21 2005 => **********************************************************
Mon May 16 19:45:21 2005 => Version 6.2.1 (I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com)
Mon May 16 19:45:21 2005 => Log File: I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG
Mon May 16 19:45:21 2005 => MWAV Registered: FALSE.
Mon May 16 19:45:21 2005 => MWAV Mode: Only Scan files.
Mon May 16 19:45:21 2005 => Latest Date of files inside MWAV: 16 May 2005 10:33:55.
Mon May 16 19:45:24 2005 => AV Library Loaded...
Mon May 16 19:45:24 2005 => MWAV doing self scanning...
Mon May 16 19:45:24 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
Mon May 16 19:45:24 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Getvlist.exe
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavssdi.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavssi.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavvlg.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\msvlclnt.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ipc.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\main.avi
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\virus.avi
Mon May 16 19:45:25 2005 => MWAV files are clean.
Mon May 16 19:45:30 2005 => Virus Database Date: 2005/05/16
Mon May 16 19:45:30 2005 => Virus Database Count: 130150
Mon May 16 19:45:59 2005 => **********************************************************
Mon May 16 19:45:59 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Mon May 16 19:45:59 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Mon May 16 19:45:59 2005 =>
Mon May 16 19:45:59 2005 => Support: support@mwti.net
Mon May 16 19:45:59 2005 => Web: http://www.mwti.net
Mon May 16 19:45:59 2005 => **********************************************************
Mon May 16 19:45:59 2005 => Version 6.2.1 (I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com)
Mon May 16 19:45:59 2005 => Log File: I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG
Mon May 16 19:45:59 2005 => User Account: Administrator
Mon May 16 19:45:59 2005 => Windows Root Folder: I:\WINDOWS
Mon May 16 19:45:59 2005 => Windows Sys32 Folder: I:\WINDOWS\system32
Mon May 16 19:45:59 2005 => OS: Windows NT
Mon May 16 19:45:59 2005 => Latest Date of files inside MWAV: 16 May 2005 10:33:55.
Mon May 16 19:45:59 2005 => Options Selected by User:
Mon May 16 19:45:59 2005 => Memory Check: Enabled
Mon May 16 19:45:59 2005 => Registry Check: Enabled
Mon May 16 19:45:59 2005 => StartUp Folder Check: Enabled
Mon May 16 19:45:59 2005 => System Folder Check: Enabled
Mon May 16 19:45:59 2005 => System Area Check: Disabled
Mon May 16 19:45:59 2005 => Services Check: Enabled
Mon May 16 19:45:59 2005 => Drive Check: Disabled
Mon May 16 19:45:59 2005 => All Drive Check :Enabled
Mon May 16 19:45:59 2005 => Folder Check: Enabled
Mon May 16 19:45:59 2005 => Folder Selected = I:\WINDOWS
Mon May 16 19:45:59 2005 => ***** Scanning Memory Files *****
Mon May 16 19:47:16 2005 => File I:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Mon May 16 19:48:26 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 20:16:44 2005 => File I:\Dokumente und Einstellungen\joe\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv343.jar-19c2df36-649a0128.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:17:03 2005 => File I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C053F8A.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C883CB5.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F061F20.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F09491C.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F346AEE.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F680AB4.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7532A6.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7C069F.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F825A97.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4FAC7C69.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\531C06C4.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:49 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\00D35699.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:49 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\06CD692A.exe infected by "Trojan-Dropper.Win32.Delf.fd" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:50 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1121513B.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:50 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\13D97010.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:50 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\23F26C22.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:52 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3E1B4779.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:52 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FD95A63.exe infected by "Trojan-Dropper.Win32.ExeBundle.286" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:52 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FDC0460.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:53 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\446D2D7D.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:54 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\59A14E10.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:54 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6A193B7C.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:55 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx infected by "Trojan.Win32.Dialer.ck" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:51 2005 => File I:\RECYCLER\NPROTECT\00001688.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:51 2005 => File I:\RECYCLER\NPROTECT\00001702.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:54 2005 => File I:\RECYCLER\NPROTECT\00001981.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:54 2005 => File I:\RECYCLER\NPROTECT\00001995.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:57 2005 => File I:\RECYCLER\NPROTECT\00002171.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:30:46 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP133\A0042198.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:11 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043851.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:11 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043852.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:19 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044921.exe infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:21 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044950.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:23 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044974.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 20:38:59 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 20:52:07 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 20:56:42 2005 => Total Disinfected Files: 0
Mon May 16 21:01:01 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 23:28:06 2005 => File I:\Dokumente und Einstellungen\joe\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv343.jar-19c2df36-649a0128.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:28:30 2005 => File I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C053F8A.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C883CB5.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\2DD5468B infected by "Trojan-Downloader.Win32.Dyfuca.da" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F061F20.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F09491C.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F346AEE.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F680AB4.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7532A6.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7C069F.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F825A97.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4FAC7C69.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\531C06C4.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\662A08BD infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\00D35699.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\06CD692A.exe infected by "Trojan-Dropper.Win32.Delf.fd" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1121513B.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\13D97010.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:34 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\23F26C22.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3E1B4779.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FD95A63.exe infected by "Trojan-Dropper.Win32.ExeBundle.286" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FDC0460.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\446D2D7D.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:37 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\59A14E10.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:38 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6A193B7C.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:39 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx infected by "Trojan.Win32.Dialer.ck" Virus! Action Taken: No Action Taken.
Mon May 16 23:48:52 2005 => File I:\RECYCLER\NPROTECT\00001688.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:48:53 2005 => File I:\RECYCLER\NPROTECT\00001702.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:49:07 2005 => File I:\RECYCLER\NPROTECT\00001981.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:49:08 2005 => File I:\RECYCLER\NPROTECT\00001995.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:49:10 2005 => File I:\RECYCLER\NPROTECT\00002171.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:52:32 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP133\A0042198.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:09 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043851.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:09 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043852.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:21 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044921.exe infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:24 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044950.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:26 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044974.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Tue May 17 00:02:27 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Tue May 17 00:27:40 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Tue May 17 00:44:15 2005 => Total Disinfected Files: 0
Tue May 17 00:44:15 2005 => ***** Scanning complete. *****
Tue May 17 00:44:15 2005 => Total Objects Scanned: 91250
Tue May 17 00:44:15 2005 => Total Virus(es) Found: 103
Tue May 17 00:44:15 2005 => Total Disinfected Files: 0
Tue May 17 00:44:15 2005 => Total Files Renamed: 0
Tue May 17 00:44:15 2005 => Total Deleted Objects: 0
Tue May 17 00:44:15 2005 => Total Errors: 217
Tue May 17 00:44:15 2005 => Time Elapsed: 03:44:27
Tue May 17 00:44:15 2005 => Virus Database Date: 2005/05/16
Tue May 17 00:44:15 2005 => Virus Database Count: 130150
Tue May 17 00:44:15 2005 => Scan Completed.
2.) startlist HijackThis
StartupList report, 17.05.2005, 20:09:59
StartupList version: 1.52.2
Started from : I:\Dokumente und Einstellungen\joe\Desktop\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
I:\WINDOWS\System32\GEARSec.exe
I:\Programme\Norton Internet Security\ISSVC.exe
I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
I:\WINDOWS\System32\svchost.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
I:\WINDOWS\system32\rundll32.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Dokumente und Einstellungen\joe\Desktop\HijackThis.exe
I:\Programme\Messenger\msmsgs.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[I:\Dokumente und Einstellungen\joe\Startmenü\Programme\Autostart]
*No files*
Shell folders AltStartup:
*Folder not found*
User shell folders Startup:
*Folder not found*
User shell folders AltStartup:
*Folder not found*
Shell folders Common Startup:
[I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart]
*No files*
Shell folders Common AltStartup:
*Folder not found*
User shell folders Common Startup:
*Folder not found*
User shell folders Alternate Common Startup:
*Folder not found*
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = I:\WINDOWS\system32\userinit.exe,
[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*
[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AWMON = "I:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
ccApp = "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
SoundMax = "I:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
Symantec NetDriver Monitor = I:\PROGRA~1\SYMNET~1\SNDMon.exe
New.net Startup = rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
evczwdiz = I:\WINDOWS\evczwdiz.exe
2F4T38g = skeace.exe
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
AAW = "I:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Aware.exe" "+b1"
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Jov3RUMnR = sigrator.exe
TuneUp MemOptimizer = "I:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
Skype = "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
Norton SystemWorks = "I:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Default) = "%1" /S
--------------------------------------------------
File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command
(Default) = I:\WINDOWS\System32\mshta.exe "%1" %*
--------------------------------------------------
File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = I:\WINDOWS\inf\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection I:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection I:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection I:\WINDOWS\INF\wmp.inf,PerUserStub
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = I:\WINDOWS\system32\Rundll32.exe I:\WINDOWS\system32\mscories.dll,Install
--------------------------------------------------
Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps
*Registry key not found*
--------------------------------------------------
Load/Run keys from I:\WINDOWS\WIN.INI:
load=*INI section not found*
run=*INI section not found*
Load/Run keys from Registry:
HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=
--------------------------------------------------
Shell & screensaver key from I:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=I:\WINDOWS\UEFAEU~1.SCR
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
I:\WINDOWS\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
I:\WINDOWS\Explorer\Explorer.exe: not present
I:\WINDOWS\System\Explorer.exe: not present
I:\WINDOWS\System32\Explorer.exe: not present
I:\WINDOWS\Command\Explorer.exe: not present
I:\WINDOWS\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Verifying REGEDIT.EXE integrity:
- Regedit.exe found in I:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungs-Editor'
Registry check passed
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - I:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - I:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}
(no name) - i:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
--------------------------------------------------
Enumerating Task Scheduler jobs:
1-Klick-Wartung.job
97F7A5D1923872A1.job
Norton AntiVirus - Meinen Computer prüfen - joe.job
Norton SystemWorks One Button Checkup.job
Symantec Drmc.job
Symantec NetDetect.job
Wöchentliche Systemprüfung.job
XoftSpy.job
--------------------------------------------------
Enumerating Download Program Files:
[{00000055-9980-0010-8000-00AA00389B71}]
CODEBASE = http://codecs.microsoft.com/codecs/i386/fhg.CAB
[DD_v4.DDv4]
InProcServer32 = I:\WINDOWS\Downloaded Program Files\DD_v4.ocx
CODEBASE = http://www.drivershq.com/DD_v4.CAB
[Shockwave ActiveX Control]
InProcServer32 = I:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shoc ... tor/sw.cab
[EGEGAUTH Class]
CODEBASE = http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
[Java Plug-in 1.4.2_05]
InProcServer32 = I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
CODEBASE = http://java.sun.com/update/1.4.2/jinsta ... s-i586.cab
[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]
CODEBASE = http://v4.windowsupdate.microsoft.com/C ... 01.1684375
[Java Plug-in 1.4.2_05]
InProcServer32 = I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
CODEBASE = http://java.sun.com/products/plugin/aut ... s-i586.cab
[Shockwave Flash Object]
InProcServer32 = I:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab
--------------------------------------------------
Enumerating Winsock LSP files:
NameSpace #1: I:\WINDOWS\System32\mswsock.dll
NameSpace #2: I:\WINDOWS\System32\winrnr.dll
NameSpace #3: I:\WINDOWS\System32\mswsock.dll
Protocol #1: I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
Protocol #2: I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
Protocol #3: I:\WINDOWS\system32\mswsock.dll
Protocol #4: I:\WINDOWS\system32\mswsock.dll
Protocol #5: I:\WINDOWS\system32\mswsock.dll
Protocol #6: I:\WINDOWS\system32\rsvpsp.dll
Protocol #7: I:\WINDOWS\system32\rsvpsp.dll
Protocol #8: I:\WINDOWS\system32\mswsock.dll
Protocol #9: I:\WINDOWS\system32\mswsock.dll
Protocol #10: I:\WINDOWS\system32\mswsock.dll
Protocol #11: I:\WINDOWS\system32\mswsock.dll
Protocol #12: I:\WINDOWS\system32\mswsock.dll
Protocol #13: I:\WINDOWS\system32\mswsock.dll
Protocol #14: I:\WINDOWS\system32\mswsock.dll
Protocol #15: I:\WINDOWS\system32\mswsock.dll
Protocol #16: I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
--------------------------------------------------
Enumerating Windows NT/2000/XP services
Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
aeaudio: system32\drivers\aeaudio.sys (manual start)
Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system)
Intel AGP-Bus-Filter: System32\DRIVERS\agp440.sys (system)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start)
Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
aslm75: \??\I:\WINDOWS\system32\drivers\aslm75.sys (autostart)
ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start)
Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Untertiteldecoder: System32\DRIVERS\CCDECODE.sys (manual start)
Symantec Event Manager: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" (autostart)
Symantec Network Proxy: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe" (autostart)
Symantec Password Validation: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe" (manual start)
Symantec Settings Manager: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" (autostart)
CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start)
Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled)
COM+-Systemanwendung: I:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Laufwerktreiber: System32\DRIVERS\disk.sys (system)
Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
COM+-Ereignissystem: I:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start)
FltMgr: system32\drivers\fltmgr.sys (system)
Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system)
GEARSecurity: %SystemRoot%\System32\GEARSec.exe (autostart)
Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Microsoft HID Class-Treiber: System32\DRIVERS\hidusb.sys (manual start)
HTTP: System32\Drivers\HTTP.sys (manual start)
HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system)
IMAPI-CD-Brenn-COM-Dienste: I:\WINDOWS\System32\imapi.exe (manual start)
Intel-Prozessortreiber: System32\DRIVERS\intelppm.sys (system)
IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start)
Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start)
IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system)
IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start)
PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
ISSvc: "I:\Programme\Norton Internet Security\ISSVC.exe" (autostart)
Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Logitech USB-Mikrofon: system32\drivers\OVSound2.sys (system)
Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
MidiSyn: system32\drivers\MidiSyn.sys (manual start)
NetMeeting-Remotedesktop-Freigabe: I:\WINDOWS\System32\mnmsrvc.exe (manual start)
Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
Maus-HID-Treiber: System32\DRIVERS\mouhid.sys (manual start)
Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: I:\WINDOWS\System32\msdtc.exe (manual start)
Windows Installer: I:\WINDOWS\system32\msiexec.exe /V (manual start)
Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start)
Microsoft Streaming Tee/Sink-to-Sink-Konvertierung: system32\drivers\MSTEE.sys (manual start)
NABTS/FEC VBI-Codec: System32\DRIVERS\NABTSFEC.sys (manual start)
Norton AntiVirus Auto-Protect-Dienst: "I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe" (autostart)
NAVENG: \??\I:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050516.007\NAVENG.Sys (manual start)
NAVEX15: \??\I:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050516.007\NavEx15.Sys (manual start)
Microsoft TV-/Videoverbindung: System32\DRIVERS\NdisIP.sys (manual start)
RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled)
Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start)
Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Norton Ghost: I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe (autostart)
Norton Unerase Protection Driver: \??\I:\WINDOWS\system32\Drivers\NPDRIVER.SYS (manual start)
Norton Unerase Protection: I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE (autostart)
NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start)
PCI-Bus-Treiber: System32\DRIVERS\pci.sys (system)
PCIIde: System32\DRIVERS\pciide.sys (system)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
powervr: System32\DRIVERS\powervr.sys (manual start)
WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Prozessortreiber: System32\DRIVERS\processr.sys (system)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start)
Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
Logitech QuickCam Web: System32\DRIVERS\OVCE.sys (manual start)
Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start)
Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Sitzungs-Manager für Remotedesktophilfe: I:\WINDOWS\system32\sessmgr.exe (manual start)
Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
SAVRT: \??\I:\Programme\Norton Internet Security\Norton AntiVirus\SAVRT.SYS (manual start)
SAVRTPEL: \??\I:\Programme\Norton Internet Security\Norton AntiVirus\SAVRTPEL.SYS (system)
SAVScan: "I:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe" (manual start)
ScriptBlocking Service: I:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (autostart)
Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
SDdriver: \??\I:\WINDOWS\system32\Drivers\sddriver.sys (manual start)
Secdrv: System32\DRIVERS\secdrv.sys (manual start)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start)
Treiber für seriellen Anschluss: System32\DRIVERS\serial.sys (system)
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
BDA Slip De-Framer: System32\DRIVERS\SLIP.sys (manual start)
smwdm: system32\drivers\smwdm.sys (manual start)
Symantec Network Drivers Service: "I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe" (autostart)
Sony USB-Filtertreiber (SONYPVU1): System32\DRIVERS\SONYPVU1.SYS (manual start)
SoundMAX Agent Service: I:\Programme\Analog Devices\SoundMAX\SMAgent.exe (autostart)
SPBBCDrv: \??\I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys (system)
Symantec SPBBCSvc: "I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe" (autostart)
Speed Disk service: I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE (autostart)
Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
BDA-IPSink: System32\DRIVERS\StreamIP.sys (manual start)
System Startup Service : I:\WINDOWS\svcproc.exe (autostart)
Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: I:\WINDOWS\System32\dllhost.exe /Processid:{CCA26B75-67F2-42C1-8413-E16C843A08F0} (manual start)
Symantec Core LC: I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (autostart)
SYMDNS: \SystemRoot\System32\Drivers\SYMDNS.SYS (manual start)
SymEvent: \??\I:\Programme\Symantec\SYMEVENT.SYS (manual start)
SYMFW: \SystemRoot\System32\Drivers\SYMFW.SYS (manual start)
SYMIDS: \SystemRoot\System32\Drivers\SYMIDS.SYS (manual start)
SYMIDSCO: \??\I:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20050512.030\symidsco.sys (manual start)
symlcbrd: \??\I:\WINDOWS\system32\drivers\symlcbrd.sys (autostart)
SYMNDIS: \SystemRoot\System32\Drivers\SYMNDIS.SYS (manual start)
SYMREDRV: \SystemRoot\System32\Drivers\SYMREDRV.SYS (manual start)
SYMTDI: \SystemRoot\System32\Drivers\SYMTDI.SYS (system)
SymWMI Service: I:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (autostart)
Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start)
Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
Terminalgerätetreiber: System32\DRIVERS\termdd.sys (system)
Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TuneUp WinStyler Theme Service: I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe (manual start)
Windows-Benutzermodus-Treiberframework: I:\WINDOWS\System32\wdfmgr.exe (manual start)
Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start)
Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start)
Microsoft Standard-USB-Haupttreiber: System32\DRIVERS\usbccgp.sys (manual start)
Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: System32\DRIVERS\usbehci.sys (manual start)
GeneLink File Transfer Driver: System32\Drivers\usbhsb.sys (autostart)
USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start)
USB-Scannertreiber: System32\DRIVERS\usbscan.sys (manual start)
USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start)
Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start)
VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system)
Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
Virtueller Wavetreiber von Microsoft (WDM): system32\drivers\wdmaud.sys (system)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WMI-Leistungsadapter: I:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung: \SystemRoot\System32\drivers\ws2ifsl.sys (system)
Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
World Standard Teletext-Codec: System32\DRIVERS\WSTCODEC.SYS (manual start)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter: System32\DRIVERS\yukonwxp.sys (manual start)
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: I:\WINDOWS\system32\SHELL32.dll
CDBurn: I:\WINDOWS\system32\SHELL32.dll
WebCheck: I:\WINDOWS\System32\webcheck.dll
SysTray: I:\WINDOWS\System32\stobject.dll
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*Registry key not found*
--------------------------------------------------
End of report, 35.613 bytes
Report generated in 0,125 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
3.) scan HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 20:49:17, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
I:\WINDOWS\System32\GEARSec.exe
I:\Programme\Norton Internet Security\ISSVC.exe
I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
I:\WINDOWS\System32\svchost.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Programme\Messenger\msmsgs.exe
I:\Dokumente und Einstellungen\joe\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:14000
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AWMON] "I:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [ccApp] "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMax] "I:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] I:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [evczwdiz] I:\WINDOWS\evczwdiz.exe
O4 - HKLM\..\Run: [2F4T38g] skeace.exe
O4 - HKLM\..\RunOnce: [AAW] "I:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [Jov3RUMnR] sigrator.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "I:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Norton SystemWorks] "I:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://I:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://I:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with NetPumper - I:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://I:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://I:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://I:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - I:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - I:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - I:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - I:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - I:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
4.) Find_It_S Log
Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first
»»»»» lagitamate file's can/will show in this section.
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»» Checking Windir\svcproc.exe and nail.exe.
svcproc.exe
»»»»» Checking for System32\DrPMon.dll.
»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.
Datentr„ger in Laufwerk I: ist WXP
Volumeseriennummer: 444D-4A11
Verzeichnis von I:\WINDOWS\SYSTEM32
»»»»» Checking for SAHAgent ico files.
Datentr„ger in Laufwerk I: ist WXP
Volumeseriennummer: 444D-4A11
Verzeichnis von I:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»».
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\aurora
Schöne Grüße
delaforce
geschokt!!
Mit der Befürchtung das Du mir als nächstes empfiehlst die Festplatte zu formatieren, bitte ich Dich (vom ganzen Herzen) bitte nicht.
Wie bereits im letzten post aufgeführt habe ich Deine empfohlenen Maßnamen umgesetzt. Leider kann ich nicht nach besten Wissen und Gewissen die korrekte Vorgehensweise bejaen.
Beispiele:
HiJackThis, obwohl Zeilen gefixt wurden, tauchen diese immer noch auf.
NewDotNet <---deinstallieren !!!! ---> aber wie ? Ich find das Program nicht, obwohl u.s. Fehleranzeige nach dem Startvorgang angezeigt wird.
-----------------------------------------------------------------------------------
RUNDLL
-----------------------------------------------------------------------------------
Fehler beim Laden von I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
Das angegebene Modul wurde nicht gefunden.
-----------------------------------------------------------------------------------
|OK|
-----------------------------------------------------------------------------------
In folgender Reihenfolge nun die Protokolle/Log´s:
1.) escan (nur infected files+Zusammenfassung und header)
2.) startlist HijackThis
3.) scan HijackThis
4.) Find_It_S Log
1.) escan
Mon May 16 19:45:21 2005 => **********************************************************
Mon May 16 19:45:21 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Mon May 16 19:45:21 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Mon May 16 19:45:21 2005 => **********************************************************
Mon May 16 19:45:21 2005 => Version 6.2.1 (I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com)
Mon May 16 19:45:21 2005 => Log File: I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG
Mon May 16 19:45:21 2005 => MWAV Registered: FALSE.
Mon May 16 19:45:21 2005 => MWAV Mode: Only Scan files.
Mon May 16 19:45:21 2005 => Latest Date of files inside MWAV: 16 May 2005 10:33:55.
Mon May 16 19:45:24 2005 => AV Library Loaded...
Mon May 16 19:45:24 2005 => MWAV doing self scanning...
Mon May 16 19:45:24 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
Mon May 16 19:45:24 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Getvlist.exe
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavssdi.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavssi.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavvlg.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\msvlclnt.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ipc.dll
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\main.avi
Mon May 16 19:45:25 2005 => Scanning File I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\virus.avi
Mon May 16 19:45:25 2005 => MWAV files are clean.
Mon May 16 19:45:30 2005 => Virus Database Date: 2005/05/16
Mon May 16 19:45:30 2005 => Virus Database Count: 130150
Mon May 16 19:45:59 2005 => **********************************************************
Mon May 16 19:45:59 2005 => MicroWorld AntiVirus & Spyware Toolkit Utility.
Mon May 16 19:45:59 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Mon May 16 19:45:59 2005 =>
Mon May 16 19:45:59 2005 => Support: support@mwti.net
Mon May 16 19:45:59 2005 => Web: http://www.mwti.net
Mon May 16 19:45:59 2005 => **********************************************************
Mon May 16 19:45:59 2005 => Version 6.2.1 (I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com)
Mon May 16 19:45:59 2005 => Log File: I:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG
Mon May 16 19:45:59 2005 => User Account: Administrator
Mon May 16 19:45:59 2005 => Windows Root Folder: I:\WINDOWS
Mon May 16 19:45:59 2005 => Windows Sys32 Folder: I:\WINDOWS\system32
Mon May 16 19:45:59 2005 => OS: Windows NT
Mon May 16 19:45:59 2005 => Latest Date of files inside MWAV: 16 May 2005 10:33:55.
Mon May 16 19:45:59 2005 => Options Selected by User:
Mon May 16 19:45:59 2005 => Memory Check: Enabled
Mon May 16 19:45:59 2005 => Registry Check: Enabled
Mon May 16 19:45:59 2005 => StartUp Folder Check: Enabled
Mon May 16 19:45:59 2005 => System Folder Check: Enabled
Mon May 16 19:45:59 2005 => System Area Check: Disabled
Mon May 16 19:45:59 2005 => Services Check: Enabled
Mon May 16 19:45:59 2005 => Drive Check: Disabled
Mon May 16 19:45:59 2005 => All Drive Check :Enabled
Mon May 16 19:45:59 2005 => Folder Check: Enabled
Mon May 16 19:45:59 2005 => Folder Selected = I:\WINDOWS
Mon May 16 19:45:59 2005 => ***** Scanning Memory Files *****
Mon May 16 19:47:16 2005 => File I:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Mon May 16 19:48:26 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 20:16:44 2005 => File I:\Dokumente und Einstellungen\joe\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv343.jar-19c2df36-649a0128.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:17:03 2005 => File I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C053F8A.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C883CB5.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F061F20.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F09491C.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:31 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F346AEE.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F680AB4.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7532A6.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7C069F.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F825A97.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4FAC7C69.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:32 2005 => File I:\Programme\Norton AntiVirus\Quarantine\531C06C4.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:49 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\00D35699.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:49 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\06CD692A.exe infected by "Trojan-Dropper.Win32.Delf.fd" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:50 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1121513B.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:50 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\13D97010.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:50 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\23F26C22.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:52 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3E1B4779.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:52 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FD95A63.exe infected by "Trojan-Dropper.Win32.ExeBundle.286" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:52 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FDC0460.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:53 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\446D2D7D.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:54 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\59A14E10.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:54 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6A193B7C.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 20:24:55 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx infected by "Trojan.Win32.Dialer.ck" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:51 2005 => File I:\RECYCLER\NPROTECT\00001688.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:51 2005 => File I:\RECYCLER\NPROTECT\00001702.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:54 2005 => File I:\RECYCLER\NPROTECT\00001981.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:54 2005 => File I:\RECYCLER\NPROTECT\00001995.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:27:57 2005 => File I:\RECYCLER\NPROTECT\00002171.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 20:30:46 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP133\A0042198.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:11 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043851.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:11 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043852.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:19 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044921.exe infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:21 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044950.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 20:32:23 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044974.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 20:38:59 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 20:52:07 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 20:56:42 2005 => Total Disinfected Files: 0
Mon May 16 21:01:01 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Mon May 16 23:28:06 2005 => File I:\Dokumente und Einstellungen\joe\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv343.jar-19c2df36-649a0128.zip infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:28:30 2005 => File I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C053F8A.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\0C883CB5.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\2DD5468B infected by "Trojan-Downloader.Win32.Dyfuca.da" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F061F20.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F09491C.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.class infected by "Trojan.Java.ClassLoader.h" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F3040F1.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:14 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F346AEE.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F680AB4.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7532A6.htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F7C069F.zip infected by "Trojan.Java.Needy.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4F825A97.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\4FAC7C69.zip infected by "Trojan.Java.ClassLoader.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\531C06C4.class infected by "Trojan.Java.ClassLoader.d" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:15 2005 => File I:\Programme\Norton AntiVirus\Quarantine\662A08BD infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\00D35699.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\06CD692A.exe infected by "Trojan-Dropper.Win32.Delf.fd" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1121513B.cla infected by "Trojan-Downloader.Java.OpenStream.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:33 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\13D97010.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:34 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\23F26C22.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3E1B4779.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FD95A63.exe infected by "Trojan-Dropper.Win32.ExeBundle.286" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FDC0460.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:36 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\446D2D7D.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:37 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\59A14E10.dll infected by "Trojan.Win32.P2E.bc" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:38 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6A193B7C.exe infected by "Trojan-Downloader.Win32.Agent.ji" Virus! Action Taken: No Action Taken.
Mon May 16 23:43:39 2005 => File I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx infected by "Trojan.Win32.Dialer.ck" Virus! Action Taken: No Action Taken.
Mon May 16 23:48:52 2005 => File I:\RECYCLER\NPROTECT\00001688.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:48:53 2005 => File I:\RECYCLER\NPROTECT\00001702.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:49:07 2005 => File I:\RECYCLER\NPROTECT\00001981.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:49:08 2005 => File I:\RECYCLER\NPROTECT\00001995.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:49:10 2005 => File I:\RECYCLER\NPROTECT\00002171.exe infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
Mon May 16 23:52:32 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP133\A0042198.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:09 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043851.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:09 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP136\A0043852.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:21 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044921.exe infected by "Trojan-Downloader.Win32.Small.asf" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:24 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044950.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Mon May 16 23:54:26 2005 => File I:\System Volume Information\_restore{8F1FA35A-A150-4D99-A2D2-532D4267B032}\RP137\A0044974.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Tue May 17 00:02:27 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Tue May 17 00:27:40 2005 => File I:\WINDOWS\d8.exe infected by "Trojan-Downloader.Win32.Small.ahx" Virus! Action Taken: No Action Taken.
Tue May 17 00:44:15 2005 => Total Disinfected Files: 0
Tue May 17 00:44:15 2005 => ***** Scanning complete. *****
Tue May 17 00:44:15 2005 => Total Objects Scanned: 91250
Tue May 17 00:44:15 2005 => Total Virus(es) Found: 103
Tue May 17 00:44:15 2005 => Total Disinfected Files: 0
Tue May 17 00:44:15 2005 => Total Files Renamed: 0
Tue May 17 00:44:15 2005 => Total Deleted Objects: 0
Tue May 17 00:44:15 2005 => Total Errors: 217
Tue May 17 00:44:15 2005 => Time Elapsed: 03:44:27
Tue May 17 00:44:15 2005 => Virus Database Date: 2005/05/16
Tue May 17 00:44:15 2005 => Virus Database Count: 130150
Tue May 17 00:44:15 2005 => Scan Completed.
2.) startlist HijackThis
StartupList report, 17.05.2005, 20:09:59
StartupList version: 1.52.2
Started from : I:\Dokumente und Einstellungen\joe\Desktop\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
I:\WINDOWS\System32\GEARSec.exe
I:\Programme\Norton Internet Security\ISSVC.exe
I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
I:\WINDOWS\System32\svchost.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
I:\WINDOWS\system32\rundll32.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Dokumente und Einstellungen\joe\Desktop\HijackThis.exe
I:\Programme\Messenger\msmsgs.exe
--------------------------------------------------
Listing of startup folders:
Shell folders Startup:
[I:\Dokumente und Einstellungen\joe\Startmenü\Programme\Autostart]
*No files*
Shell folders AltStartup:
*Folder not found*
User shell folders Startup:
*Folder not found*
User shell folders AltStartup:
*Folder not found*
Shell folders Common Startup:
[I:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart]
*No files*
Shell folders Common AltStartup:
*Folder not found*
User shell folders Common Startup:
*Folder not found*
User shell folders Alternate Common Startup:
*Folder not found*
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = I:\WINDOWS\system32\userinit.exe,
[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
*Registry value not found*
[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AWMON = "I:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
ccApp = "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
SoundMax = "I:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
Symantec NetDriver Monitor = I:\PROGRA~1\SYMNET~1\SNDMon.exe
New.net Startup = rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
evczwdiz = I:\WINDOWS\evczwdiz.exe
2F4T38g = skeace.exe
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
AAW = "I:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Aware.exe" "+b1"
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Jov3RUMnR = sigrator.exe
TuneUp MemOptimizer = "I:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
Skype = "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
Norton SystemWorks = "I:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No values found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
*No subkeys found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
Autorun entries in Registry subkeys of:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run
*Registry key not found*
--------------------------------------------------
File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .COM:
HKEY_CLASSES_ROOT\comfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .BAT:
HKEY_CLASSES_ROOT\batfile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .PIF:
HKEY_CLASSES_ROOT\piffile\shell\open\command
(Default) = "%1" %*
--------------------------------------------------
File association entry for .SCR:
HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Default) = "%1" /S
--------------------------------------------------
File association entry for .HTA:
HKEY_CLASSES_ROOT\htafile\shell\open\command
(Default) = I:\WINDOWS\System32\mshta.exe "%1" %*
--------------------------------------------------
File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1
--------------------------------------------------
Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)
[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = I:\WINDOWS\inf\unregmp2.exe /ShowWMP
[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
[>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
[{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection I:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
[{5945c046-1e7d-11d1-bc44-00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection I:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
[{6BF52A52-394A-11d3-B153-00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection I:\WINDOWS\INF\wmp.inf,PerUserStub
[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll
[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe
[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = I:\WINDOWS\system32\Rundll32.exe I:\WINDOWS\system32\mscories.dll,Install
--------------------------------------------------
Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps
*Registry key not found*
--------------------------------------------------
Load/Run keys from I:\WINDOWS\WIN.INI:
load=*INI section not found*
run=*INI section not found*
Load/Run keys from Registry:
HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*
HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*
HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*
HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*
HKCU\..\Windows NT\CurrentVersion\Windows: load=
HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=
--------------------------------------------------
Shell & screensaver key from I:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=I:\WINDOWS\UEFAEU~1.SCR
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Checking for EXPLORER.EXE instances:
I:\WINDOWS\Explorer.exe: PRESENT!
C:\Explorer.exe: not present
I:\WINDOWS\Explorer\Explorer.exe: not present
I:\WINDOWS\System\Explorer.exe: not present
I:\WINDOWS\System32\Explorer.exe: not present
I:\WINDOWS\Command\Explorer.exe: not present
I:\WINDOWS\Fonts\Explorer.exe: not present
--------------------------------------------------
Checking for superhidden extensions:
.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden
--------------------------------------------------
Verifying REGEDIT.EXE integrity:
- Regedit.exe found in I:\WINDOWS
- .reg open command is normal (regedit.exe %1)
- Company name OK: 'Microsoft Corporation'
- Original filename OK: 'REGEDIT.EXE'
- File description: 'Registrierungs-Editor'
Registry check passed
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - I:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - I:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}
(no name) - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll - {9ECB9560-04F9-4bbc-943D-298DDF1699E1}
(no name) - i:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
--------------------------------------------------
Enumerating Task Scheduler jobs:
1-Klick-Wartung.job
97F7A5D1923872A1.job
Norton AntiVirus - Meinen Computer prüfen - joe.job
Norton SystemWorks One Button Checkup.job
Symantec Drmc.job
Symantec NetDetect.job
Wöchentliche Systemprüfung.job
XoftSpy.job
--------------------------------------------------
Enumerating Download Program Files:
[{00000055-9980-0010-8000-00AA00389B71}]
CODEBASE = http://codecs.microsoft.com/codecs/i386/fhg.CAB
[DD_v4.DDv4]
InProcServer32 = I:\WINDOWS\Downloaded Program Files\DD_v4.ocx
CODEBASE = http://www.drivershq.com/DD_v4.CAB
[Shockwave ActiveX Control]
InProcServer32 = I:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/shoc ... tor/sw.cab
[EGEGAUTH Class]
CODEBASE = http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
[Java Plug-in 1.4.2_05]
InProcServer32 = I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
CODEBASE = http://java.sun.com/update/1.4.2/jinsta ... s-i586.cab
[{9F1C11AA-197B-4942-BA54-47A8489BB47F}]
CODEBASE = http://v4.windowsupdate.microsoft.com/C ... 01.1684375
[Java Plug-in 1.4.2_05]
InProcServer32 = I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
CODEBASE = http://java.sun.com/products/plugin/aut ... s-i586.cab
[Shockwave Flash Object]
InProcServer32 = I:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shoc ... wflash.cab
--------------------------------------------------
Enumerating Winsock LSP files:
NameSpace #1: I:\WINDOWS\System32\mswsock.dll
NameSpace #2: I:\WINDOWS\System32\winrnr.dll
NameSpace #3: I:\WINDOWS\System32\mswsock.dll
Protocol #1: I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
Protocol #2: I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
Protocol #3: I:\WINDOWS\system32\mswsock.dll
Protocol #4: I:\WINDOWS\system32\mswsock.dll
Protocol #5: I:\WINDOWS\system32\mswsock.dll
Protocol #6: I:\WINDOWS\system32\rsvpsp.dll
Protocol #7: I:\WINDOWS\system32\rsvpsp.dll
Protocol #8: I:\WINDOWS\system32\mswsock.dll
Protocol #9: I:\WINDOWS\system32\mswsock.dll
Protocol #10: I:\WINDOWS\system32\mswsock.dll
Protocol #11: I:\WINDOWS\system32\mswsock.dll
Protocol #12: I:\WINDOWS\system32\mswsock.dll
Protocol #13: I:\WINDOWS\system32\mswsock.dll
Protocol #14: I:\WINDOWS\system32\mswsock.dll
Protocol #15: I:\WINDOWS\system32\mswsock.dll
Protocol #16: I:\Programme\Google\Google Desktop Search\GoogleDesktopNetwork1.dll
--------------------------------------------------
Enumerating Windows NT/2000/XP services
Microsoft ACPI-Treiber: System32\DRIVERS\ACPI.sys (system)
aeaudio: system32\drivers\aeaudio.sys (manual start)
Microsoft Kernel-Echounterdrückung: system32\drivers\aec.sys (manual start)
Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (system)
Intel AGP-Bus-Filter: System32\DRIVERS\agp440.sys (system)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (disabled)
Gatewaydienst auf Anwendungsebene: %SystemRoot%\System32\alg.exe (manual start)
Anwendungsverwaltung: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
aslm75: \??\I:\WINDOWS\system32\drivers\aslm75.sys (autostart)
ASP.NET State Service: %SystemRoot%\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (manual start)
Asynchroner RAS -Medientreiber: System32\DRIVERS\asyncmac.sys (manual start)
Standard-IDE/ESDI-Festplattencontroller: System32\DRIVERS\atapi.sys (system)
Protokoll für ATM ARP-Client: System32\DRIVERS\atmarpc.sys (manual start)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Audiostubtreiber: System32\DRIVERS\audstub.sys (manual start)
Intelligenter Hintergrundübertragungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Untertiteldecoder: System32\DRIVERS\CCDECODE.sys (manual start)
Symantec Event Manager: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" (autostart)
Symantec Network Proxy: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe" (autostart)
Symantec Password Validation: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe" (manual start)
Symantec Settings Manager: "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" (autostart)
CD-ROM-Laufwerktreiber: System32\DRIVERS\cdrom.sys (system)
Indexdienst: %SystemRoot%\system32\cisvc.exe (manual start)
Ablagemappe: %SystemRoot%\system32\clipsrv.exe (disabled)
COM+-Systemanwendung: I:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235} (manual start)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DCOM-Server-Prozessstart: %SystemRoot%\system32\svchost -k DcomLaunch (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Laufwerktreiber: System32\DRIVERS\disk.sys (system)
Verwaltungsdienst für die Verwaltung logischer Datenträger: %SystemRoot%\System32\dmadmin.exe /com (manual start)
dmboot: System32\drivers\dmboot.sys (disabled)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Microsoft Kernel-DLS-Synthesizer: system32\drivers\DMusic.sys (manual start)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
Microsoft Kernel-DRM-Audioentschlüsselung: system32\drivers\drmkaud.sys (manual start)
Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
COM+-Ereignissystem: I:\WINDOWS\System32\svchost.exe -k netsvcs (manual start)
Kompatibilität für schnelle Benutzerumschaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Diskettencontrollertreiber: System32\DRIVERS\fdc.sys (manual start)
Diskettenlaufwerktreiber: System32\DRIVERS\flpydisk.sys (manual start)
FltMgr: system32\drivers\fltmgr.sys (system)
Treiber für Volume-Manager: System32\DRIVERS\ftdisk.sys (system)
GEARSecurity: %SystemRoot%\System32\GEARSec.exe (autostart)
Standardpaketklassifizierung: System32\DRIVERS\msgpc.sys (manual start)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Eingabegerätezugang: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
Microsoft HID Class-Treiber: System32\DRIVERS\hidusb.sys (manual start)
HTTP: System32\Drivers\HTTP.sys (manual start)
HTTP-SSL: %SystemRoot%\System32\svchost.exe -k HTTPFilter (manual start)
i8042-Tastatur- und PS/2-Mausanschluss-Treiber: System32\DRIVERS\i8042prt.sys (system)
Filtertreiber für CD-Brennen: System32\DRIVERS\imapi.sys (system)
IMAPI-CD-Brenn-COM-Dienste: I:\WINDOWS\System32\imapi.exe (manual start)
Intel-Prozessortreiber: System32\DRIVERS\intelppm.sys (system)
IPv6-Windows-Firewalltreiber: system32\drivers\ip6fw.sys (manual start)
Filtertreiber für IP-Verkehr: System32\DRIVERS\ipfltdrv.sys (manual start)
IP/IP-Tunneltreiber: System32\DRIVERS\ipinip.sys (manual start)
Übersetzer für IP-Netzwerkadressen: System32\DRIVERS\ipnat.sys (manual start)
IPSEC-Treiber: System32\DRIVERS\ipsec.sys (system)
IR-Enumeratordienst: System32\DRIVERS\irenum.sys (manual start)
PnP-ISA/EISA-Bus-Treiber: System32\DRIVERS\isapnp.sys (system)
ISSvc: "I:\Programme\Norton Internet Security\ISSVC.exe" (autostart)
Tastaturklassentreiber: System32\DRIVERS\kbdclass.sys (system)
Microsoft Kernel-Waveaudiomixer: system32\drivers\kmixer.sys (manual start)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Logitech USB-Mikrofon: system32\drivers\OVSound2.sys (system)
Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
MidiSyn: system32\drivers\MidiSyn.sys (manual start)
NetMeeting-Remotedesktop-Freigabe: I:\WINDOWS\System32\mnmsrvc.exe (manual start)
Mausklassentreiber: System32\DRIVERS\mouclass.sys (system)
Maus-HID-Treiber: System32\DRIVERS\mouhid.sys (manual start)
Redirector für WebDav-Client: System32\DRIVERS\mrxdav.sys (manual start)
MRXSMB: System32\DRIVERS\mrxsmb.sys (system)
Distributed Transaction Coordinator: I:\WINDOWS\System32\msdtc.exe (manual start)
Windows Installer: I:\WINDOWS\system32\msiexec.exe /V (manual start)
Microsoft Streaming Service Proxy: system32\drivers\MSKSSRV.sys (manual start)
Microsoft Proxy für Streaming Clock: system32\drivers\MSPCLOCK.sys (manual start)
Microsoft Proxy für Streaming Quality Manager: system32\drivers\MSPQM.sys (manual start)
Microsoft-Systemverwaltungs-BIOS-Treiber: System32\DRIVERS\mssmbios.sys (manual start)
Microsoft Streaming Tee/Sink-to-Sink-Konvertierung: system32\drivers\MSTEE.sys (manual start)
NABTS/FEC VBI-Codec: System32\DRIVERS\NABTSFEC.sys (manual start)
Norton AntiVirus Auto-Protect-Dienst: "I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe" (autostart)
NAVENG: \??\I:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050516.007\NAVENG.Sys (manual start)
NAVEX15: \??\I:\PROGRA~1\GEMEIN~1\SYMANT~1\VIRUSD~1\20050516.007\NavEx15.Sys (manual start)
Microsoft TV-/Videoverbindung: System32\DRIVERS\NdisIP.sys (manual start)
RAS-NDIS-TAPI-Treiber: System32\DRIVERS\ndistapi.sys (manual start)
NDIS-Benutzermodus-E/A-Protokoll: System32\DRIVERS\ndisuio.sys (manual start)
RAS-NDIS-WAN-Treiber: System32\DRIVERS\ndiswan.sys (manual start)
NetBIOS-Schnittstelle: System32\DRIVERS\netbios.sys (system)
NetBios über TCP/IP: System32\DRIVERS\netbt.sys (system)
Netzwerk-DDE-Dienst: %SystemRoot%\system32\netdde.exe (disabled)
Netzwerk-DDE-Serverdienst: %SystemRoot%\system32\netdde.exe (disabled)
Anmeldedienst: %SystemRoot%\System32\lsass.exe (manual start)
Netzwerkverbindungen: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NLA (Network Location Awareness): %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Norton Ghost: I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe (autostart)
Norton Unerase Protection Driver: \??\I:\WINDOWS\system32\Drivers\NPDRIVER.SYS (manual start)
Norton Unerase Protection: I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE (autostart)
NT-LM-Sicherheitsdienst: %SystemRoot%\System32\lsass.exe (manual start)
Wechselmedien: %SystemRoot%\system32\svchost.exe -k netsvcs (manual start)
Filtertreiber für IPX-Verkehr: System32\DRIVERS\nwlnkflt.sys (manual start)
Treiber für IPX-Verkehrsweiterleitung: System32\DRIVERS\nwlnkfwd.sys (manual start)
Treiber für parallelen Anschluss: System32\DRIVERS\parport.sys (manual start)
PCI-Bus-Treiber: System32\DRIVERS\pci.sys (system)
PCIIde: System32\DRIVERS\pciide.sys (system)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
powervr: System32\DRIVERS\powervr.sys (manual start)
WAN-Miniport (PPTP): System32\DRIVERS\raspptp.sys (manual start)
Prozessortreiber: System32\DRIVERS\processr.sys (system)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
QoS-Paketplaner: System32\DRIVERS\psched.sys (manual start)
Treiber für direkte Parallelverbindung: System32\DRIVERS\ptilink.sys (manual start)
Logitech QuickCam Web: System32\DRIVERS\OVCE.sys (manual start)
Treiber für automatische RAS-Verbindung: System32\DRIVERS\rasacd.sys (system)
Verwaltung für automatische RAS-Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WAN-Miniport (L2TP): System32\DRIVERS\rasl2tp.sys (manual start)
RAS-Verbindungsverwaltung: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
Remotezugriff-PPPOE-Treiber: System32\DRIVERS\raspppoe.sys (manual start)
Parallelanschluss (direkt): System32\DRIVERS\raspti.sys (manual start)
Rdbss: System32\DRIVERS\rdbss.sys (system)
RDPCDD: System32\DRIVERS\RDPCDD.sys (system)
Sitzungs-Manager für Remotedesktophilfe: I:\WINDOWS\system32\sessmgr.exe (manual start)
Filtertreiber für digitale CD-Audiowiedergabe: System32\DRIVERS\redbook.sys (system)
Routing und RAS: %SystemRoot%\System32\svchost.exe -k netsvcs (disabled)
RPC-Locator: %SystemRoot%\System32\locator.exe (manual start)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
QoS-RSVP: %SystemRoot%\System32\rsvp.exe (manual start)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
SAVRT: \??\I:\Programme\Norton Internet Security\Norton AntiVirus\SAVRT.SYS (manual start)
SAVRTPEL: \??\I:\Programme\Norton Internet Security\Norton AntiVirus\SAVRTPEL.SYS (system)
SAVScan: "I:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe" (manual start)
ScriptBlocking Service: I:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe (autostart)
Smartcard: %SystemRoot%\System32\SCardSvr.exe (manual start)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
SDdriver: \??\I:\WINDOWS\system32\Drivers\sddriver.sys (manual start)
Secdrv: System32\DRIVERS\secdrv.sys (manual start)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Serenum-Filtertreiber: System32\DRIVERS\serenum.sys (manual start)
Treiber für seriellen Anschluss: System32\DRIVERS\serial.sys (system)
Windows-Firewall/Gemeinsame Nutzung der Internetverbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
BDA Slip De-Framer: System32\DRIVERS\SLIP.sys (manual start)
smwdm: system32\drivers\smwdm.sys (manual start)
Symantec Network Drivers Service: "I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe" (autostart)
Sony USB-Filtertreiber (SONYPVU1): System32\DRIVERS\SONYPVU1.SYS (manual start)
SoundMAX Agent Service: I:\Programme\Analog Devices\SoundMAX\SMAgent.exe (autostart)
SPBBCDrv: \??\I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCDrv.sys (system)
Symantec SPBBCSvc: "I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe" (autostart)
Speed Disk service: I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE (autostart)
Microsoft Kernel-Audiosplitter: system32\drivers\splitter.sys (manual start)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Filtertreiber für Systemwiederherstellung: System32\DRIVERS\sr.sys (system)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Srv: System32\DRIVERS\srv.sys (manual start)
SSDP-Suchdienst: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
BDA-IPSink: System32\DRIVERS\StreamIP.sys (manual start)
System Startup Service : I:\WINDOWS\svcproc.exe (autostart)
Software-Bus-Treiber: System32\DRIVERS\swenum.sys (manual start)
Microsoft Kernel GS Wavetablesynthesizer: system32\drivers\swmidi.sys (manual start)
MS Software Shadow Copy Provider: I:\WINDOWS\System32\dllhost.exe /Processid:{CCA26B75-67F2-42C1-8413-E16C843A08F0} (manual start)
Symantec Core LC: I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (autostart)
SYMDNS: \SystemRoot\System32\Drivers\SYMDNS.SYS (manual start)
SymEvent: \??\I:\Programme\Symantec\SYMEVENT.SYS (manual start)
SYMFW: \SystemRoot\System32\Drivers\SYMFW.SYS (manual start)
SYMIDS: \SystemRoot\System32\Drivers\SYMIDS.SYS (manual start)
SYMIDSCO: \??\I:\PROGRA~1\GEMEIN~1\SYMANT~1\SymcData\idsdefs\20050512.030\symidsco.sys (manual start)
symlcbrd: \??\I:\WINDOWS\system32\drivers\symlcbrd.sys (autostart)
SYMNDIS: \SystemRoot\System32\Drivers\SYMNDIS.SYS (manual start)
SYMREDRV: \SystemRoot\System32\Drivers\SYMREDRV.SYS (manual start)
SYMTDI: \SystemRoot\System32\Drivers\SYMTDI.SYS (system)
SymWMI Service: I:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (autostart)
Microsoft Kernel-Systemaudiogerät: system32\drivers\sysaudio.sys (manual start)
Leistungsdatenprotokolle und Warnungen: %SystemRoot%\system32\smlogsvc.exe (manual start)
Telefonie: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
TCP/IP-Protokolltreiber: System32\DRIVERS\tcpip.sys (system)
Terminalgerätetreiber: System32\DRIVERS\termdd.sys (system)
Terminaldienste: %SystemRoot%\System32\svchost -k DComLaunch (manual start)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
TuneUp WinStyler Theme Service: I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe (manual start)
Windows-Benutzermodus-Treiberframework: I:\WINDOWS\System32\wdfmgr.exe (manual start)
Microcode Updatetreiber: System32\DRIVERS\update.sys (manual start)
Universeller Plug & Play-Gerätehost: %SystemRoot%\System32\svchost.exe -k LocalService (manual start)
Unterbrechungsfreie Stromversorgung: %SystemRoot%\System32\ups.exe (manual start)
Microsoft Standard-USB-Haupttreiber: System32\DRIVERS\usbccgp.sys (manual start)
Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller: System32\DRIVERS\usbehci.sys (manual start)
GeneLink File Transfer Driver: System32\Drivers\usbhsb.sys (autostart)
USB2-aktivierter Hub: System32\DRIVERS\usbhub.sys (manual start)
USB-Scannertreiber: System32\DRIVERS\usbscan.sys (manual start)
USB-Massenspeichertreiber: System32\DRIVERS\USBSTOR.SYS (manual start)
Miniporttreiber für universellen Microsoft USB-Hostcontroller: System32\DRIVERS\usbuhci.sys (manual start)
VGA-Anzeigecontroller.: \SystemRoot\System32\drivers\vga.sys (system)
Volumeschattenkopie: %SystemRoot%\System32\vssvc.exe (manual start)
Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
RAS-IP-ARP-Treiber: System32\DRIVERS\wanarp.sys (manual start)
Virtueller Wavetreiber von Microsoft (WDM): system32\drivers\wdmaud.sys (system)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Dienst für Seriennummern der tragbaren Medien: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
WMI-Leistungsadapter: I:\WINDOWS\System32\wbem\wmiapsrv.exe (manual start)
Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung: \SystemRoot\System32\drivers\ws2ifsl.sys (system)
Sicherheitscenter: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
World Standard Teletext-Codec: System32\DRIVERS\WSTCODEC.SYS (manual start)
Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Netzwerkversorgungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (manual start)
NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter: System32\DRIVERS\yukonwxp.sys (manual start)
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: I:\WINDOWS\system32\SHELL32.dll
CDBurn: I:\WINDOWS\system32\SHELL32.dll
WebCheck: I:\WINDOWS\System32\webcheck.dll
SysTray: I:\WINDOWS\System32\stobject.dll
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*Registry key not found*
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
*Registry key not found*
--------------------------------------------------
End of report, 35.613 bytes
Report generated in 0,125 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
3.) scan HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 20:49:17, on 17.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
I:\WINDOWS\System32\GEARSec.exe
I:\Programme\Norton Internet Security\ISSVC.exe
I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
I:\WINDOWS\System32\svchost.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
I:\WINDOWS\Explorer.EXE
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Programme\Messenger\msmsgs.exe
I:\Dokumente und Einstellungen\joe\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:14000
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - I:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AWMON] "I:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [ccApp] "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SoundMax] "I:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] I:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [evczwdiz] I:\WINDOWS\evczwdiz.exe
O4 - HKLM\..\Run: [2F4T38g] skeace.exe
O4 - HKLM\..\RunOnce: [AAW] "I:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [Jov3RUMnR] sigrator.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "I:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Norton SystemWorks] "I:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://I:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://I:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Download with NetPumper - I:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://I:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://I:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://I:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P ... _EN_XP.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - I:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - I:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - I:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - I:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - I:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - I:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - I:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - I:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - I:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: System Startup Service (SvcProc) - Unknown owner - I:\WINDOWS\svcproc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
4.) Find_It_S Log
Microsoft Windows XP [Version 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first
»»»»» lagitamate file's can/will show in this section.
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»
»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
»»»»» Checking Windir\svcproc.exe and nail.exe.
svcproc.exe
»»»»» Checking for System32\DrPMon.dll.
»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.
Datentr„ger in Laufwerk I: ist WXP
Volumeseriennummer: 444D-4A11
Verzeichnis von I:\WINDOWS\SYSTEM32
»»»»» Checking for SAHAgent ico files.
Datentr„ger in Laufwerk I: ist WXP
Volumeseriennummer: 444D-4A11
Verzeichnis von I:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»».
! REG.EXE VERSION 3.0
HKEY_CURRENT_USER\Software\aurora
Schöne Grüße
delaforce
- delaforce
- Beiträge: 4
- Registriert: 15.05.2005, 18:25
von Nikita am 17.05.2005, 21:34
Hallo@
Open HijackThis, click Config, click Misc Tools
Click "Open Uninstall Manager"
Click "Save List" (generates uninstall_list.txt)
Click Save, copy and paste the results in your next post.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Gehe in die Registry
Start--> Ausfuehren--> regedit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mit rechtsklick loeschen:
New.net Startup = rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
evczwdiz = I:\WINDOWS\evczwdiz.exe
2F4T38g = skeace.exe
[Jov3RUMnR] sigrator.exe
Loesche mit der kIllbox:
I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll
I:\WINDOWS\d8.exe
I:\WINDOWS\evczwdiz.exe
I:\WINDOWS\sigrator.exe
I:\WINDOWS\skeace.exe
I:\WINDOWS\System32\sigrator.exe
I:\WINDOWS\System32\skeace.exe
I:\RECYCLER\NPROTECT\00001688.exe
I:\RECYCLER\NPROTECT\00001702.exe
I:\RECYCLER\NPROTECT\00001981.exe
I:\RECYCLER\NPROTECT\00001995.exe
I:\RECYCLER\NPROTECT\00002171.exe
I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx
PC< neustarten
I:\Dokumente und Einstellungen\joe\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv343.jar-19c2df36-649a0128.zip<--loeschen
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Deaktivieren Wiederherstellung --> dann aktiviere sie wieder
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
suche den Panda -SCan (und andere) , scanne + berichte
http://nikita.eddys-domain.de/onlinescan.html
Open HijackThis, click Config, click Misc Tools
Click "Open Uninstall Manager"
Click "Save List" (generates uninstall_list.txt)
Click Save, copy and paste the results in your next post.
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Gehe in die Registry
Start--> Ausfuehren--> regedit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mit rechtsklick loeschen:
New.net Startup = rundll32 I:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
evczwdiz = I:\WINDOWS\evczwdiz.exe
2F4T38g = skeace.exe
[Jov3RUMnR] sigrator.exe
Loesche mit der kIllbox:
I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll
I:\WINDOWS\d8.exe
I:\WINDOWS\evczwdiz.exe
I:\WINDOWS\sigrator.exe
I:\WINDOWS\skeace.exe
I:\WINDOWS\System32\sigrator.exe
I:\WINDOWS\System32\skeace.exe
I:\RECYCLER\NPROTECT\00001688.exe
I:\RECYCLER\NPROTECT\00001702.exe
I:\RECYCLER\NPROTECT\00001981.exe
I:\RECYCLER\NPROTECT\00001995.exe
I:\RECYCLER\NPROTECT\00002171.exe
I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx
PC< neustarten
I:\Dokumente und Einstellungen\joe\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv343.jar-19c2df36-649a0128.zip<--loeschen
Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt
Deaktivieren Wiederherstellung --> dann aktiviere sie wieder
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
suche den Panda -SCan (und andere) , scanne + berichte
http://nikita.eddys-domain.de/onlinescan.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von delaforce am 18.05.2005, 00:25
Hallo,
leider verlief nicht alles reibungslos.
a.) Die Einträge aus der Registry sind nach dem Neustart wieder da.
-die Sigrator.exe habe ich nicht unter HKLM sondern unter HKCU gefunden
- die andern waren unter HKLM, aber nach Neustart wieder da
b.) Die Killbox findet nicht alle u.a. Dateien
c.) Panda Onlinescan gescheitert (siehe weiter unten)
I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll (gefunden und gelöscht)
I:\WINDOWS\d8.exe (gefunden und gelöscht)
I:\WINDOWS\evczwdiz.exe nicht gefunden
I:\WINDOWS\sigrator.exe nicht gefunden
I:\WINDOWS\skeace.exe nicht gefunden
I:\WINDOWS\System32\sigrator.exe nicht gefunden
I:\WINDOWS\System32\skeace.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001688.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001702.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001981.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001995.exe nicht gefunden
I:\RECYCLER\NPROTECT\00002171.exe nicht gefunden
I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx (gefunden und gelöscht)
Mach ich da was falsch ? (sehr wahrscheinlich)
1.) Hijackthis uninstall_list
3D Prophet KYRO Series
Ad-Aware SE Professional
Adobe Acrobat 5.0
AI - Series
Anti-Leech Plugin for Internet Explorer
Anti-Leech Plugin for Netscape, Mozilla, Opera
CC_ccProxyExt
ccCommon
CCleaner (remove only)
ccPxyCore
Codec Pack - All In 1 6.0.2.2
eMule Plus 1.1a
Gluz 4.4
Google Desktop Search
Google Toolbar for Internet Explorer
Hercules Tools
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 1.99.1
IsoBuster 1.7
Java 2 Runtime Environment, SE v1.4.2_05
KYRO
LiveReg (Symantec Corporation)
LiveUpdate 2.5 (Symantec Corporation)
Macromedia Shockwave Player
MAGIX Fotos auf CD & DVD 3.5 deLuxe
Messenger Plus! 3
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB886903)
Microsoft Data Access Components KB870669
Microsoft Office 2000 Premium
Microsoft Windows Media Video 9 VCM
Microsoft Windows-Journal-Viewer
Microsoft XML Parser und SDK
MSN Messenger 6.2
MSRedist
MSRedist
Nero Media Player
NeroVision Express 3
NetPumper 1.20.1.0
Norton AntiSpam
Norton AntiSpam
Norton AntiVirus 2005
Norton CleanSweep
Norton Ghost 9.0
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security 2005 (Symantec Corporation)
Norton PartitionMagic 8.0
Norton SystemWorks
Norton SystemWorks 2005 Premier (Symantec Corporation)
Norton Utilities
Norton WMI Update
Norton WMI Update
Norton WMI Update
NSW_DRM_COLLECTION
O&O UnErase
PerformanceTest v5.0
QuickSearch Toolbar
Skype 1.1
SPBBC
Spybot - Search & Destroy 1.3
StarMoney 4.0
Symantec Script Blocking Installer
SymNet
Tag&Rename 3.1
TuneUp Utilities 2004
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 2
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB867282
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB890923
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893066
Windows XP-Hotfix - KB893086
Windows-Sicherungsprogramm
WinRAR archiver
WinUHA 2.0 Build 2003.12.31 Beta
WinZip
2.)rkfiles log.txt
C:\
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
I:\WINDOWS\system32\bsxnvvq.exe: UPX!
I:\WINDOWS\system32\sb2ctrl.dll: UPX!
I:\WINDOWS\system32\xlrkeg.exe: UPX!
I:\WINDOWS\system32\zvrqpf.exe: UPX!
I:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
I:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
Files Found in all users startup Folder............
------------------------
I:\WINDOWS\system32\bsxnvvq.exe: UPX!
I:\WINDOWS\system32\sb2ctrl.dll: UPX!
I:\WINDOWS\system32\xlrkeg.exe: UPX!
I:\WINDOWS\system32\zvrqpf.exe: UPX!
Files Found in all users windows Folder............
------------------------
I:\WINDOWS\evxpveitq.exe: UPX!
I:\WINDOWS\svcproc.exe: UPX!
Finished
bye
Panda Onlinescan ist gescheitert, ich wurde aufgefordert einen ActiveX element zu installieren daraufhin werden alle I.e Fenster geschlossen. Habe es 3x versucht.
Den Virusscan kann ich aber auch mit den Norton machen, alle Updates aktuell!! Werde es morgen nachholen.
Kannst du mit den oben geposteten was anfangen?
Schöne Grüße
delaforce
leider verlief nicht alles reibungslos.
a.) Die Einträge aus der Registry sind nach dem Neustart wieder da.
-die Sigrator.exe habe ich nicht unter HKLM sondern unter HKCU gefunden
- die andern waren unter HKLM, aber nach Neustart wieder da
b.) Die Killbox findet nicht alle u.a. Dateien
c.) Panda Onlinescan gescheitert (siehe weiter unten)
I:\Dokumente und Einstellungen\joe\Desktop\backups\backup-20050516-171830-640.dll (gefunden und gelöscht)
I:\WINDOWS\d8.exe (gefunden und gelöscht)
I:\WINDOWS\evczwdiz.exe nicht gefunden
I:\WINDOWS\sigrator.exe nicht gefunden
I:\WINDOWS\skeace.exe nicht gefunden
I:\WINDOWS\System32\sigrator.exe nicht gefunden
I:\WINDOWS\System32\skeace.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001688.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001702.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001981.exe nicht gefunden
I:\RECYCLER\NPROTECT\00001995.exe nicht gefunden
I:\RECYCLER\NPROTECT\00002171.exe nicht gefunden
I:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7599624C.ocx (gefunden und gelöscht)
Mach ich da was falsch ? (sehr wahrscheinlich)
1.) Hijackthis uninstall_list
3D Prophet KYRO Series
Ad-Aware SE Professional
Adobe Acrobat 5.0
AI - Series
Anti-Leech Plugin for Internet Explorer
Anti-Leech Plugin for Netscape, Mozilla, Opera
CC_ccProxyExt
ccCommon
CCleaner (remove only)
ccPxyCore
Codec Pack - All In 1 6.0.2.2
eMule Plus 1.1a
Gluz 4.4
Google Desktop Search
Google Toolbar for Internet Explorer
Hercules Tools
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 1.99.1
IsoBuster 1.7
Java 2 Runtime Environment, SE v1.4.2_05
KYRO
LiveReg (Symantec Corporation)
LiveUpdate 2.5 (Symantec Corporation)
Macromedia Shockwave Player
MAGIX Fotos auf CD & DVD 3.5 deLuxe
Messenger Plus! 3
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB886903)
Microsoft Data Access Components KB870669
Microsoft Office 2000 Premium
Microsoft Windows Media Video 9 VCM
Microsoft Windows-Journal-Viewer
Microsoft XML Parser und SDK
MSN Messenger 6.2
MSRedist
MSRedist
Nero Media Player
NeroVision Express 3
NetPumper 1.20.1.0
Norton AntiSpam
Norton AntiSpam
Norton AntiVirus 2005
Norton CleanSweep
Norton Ghost 9.0
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security
Norton Internet Security 2005 (Symantec Corporation)
Norton PartitionMagic 8.0
Norton SystemWorks
Norton SystemWorks 2005 Premier (Symantec Corporation)
Norton Utilities
Norton WMI Update
Norton WMI Update
Norton WMI Update
NSW_DRM_COLLECTION
O&O UnErase
PerformanceTest v5.0
QuickSearch Toolbar
Skype 1.1
SPBBC
Spybot - Search & Destroy 1.3
StarMoney 4.0
Symantec Script Blocking Installer
SymNet
Tag&Rename 3.1
TuneUp Utilities 2004
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
Windows Media Player 10
Windows XP Service Pack 2
Windows XP-Hotfix - KB834707
Windows XP-Hotfix - KB867282
Windows XP-Hotfix - KB873333
Windows XP-Hotfix - KB873339
Windows XP-Hotfix - KB885250
Windows XP-Hotfix - KB885835
Windows XP-Hotfix - KB885836
Windows XP-Hotfix - KB886185
Windows XP-Hotfix - KB887472
Windows XP-Hotfix - KB887742
Windows XP-Hotfix - KB888113
Windows XP-Hotfix - KB888302
Windows XP-Hotfix - KB890047
Windows XP-Hotfix - KB890175
Windows XP-Hotfix - KB890859
Windows XP-Hotfix - KB890923
Windows XP-Hotfix - KB891781
Windows XP-Hotfix - KB893066
Windows XP-Hotfix - KB893086
Windows-Sicherungsprogramm
WinRAR archiver
WinUHA 2.0 Build 2003.12.31 Beta
WinZip
2.)rkfiles log.txt
C:\
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
I:\WINDOWS\system32\bsxnvvq.exe: UPX!
I:\WINDOWS\system32\sb2ctrl.dll: UPX!
I:\WINDOWS\system32\xlrkeg.exe: UPX!
I:\WINDOWS\system32\zvrqpf.exe: UPX!
I:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
I:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
Files Found in all users startup Folder............
------------------------
I:\WINDOWS\system32\bsxnvvq.exe: UPX!
I:\WINDOWS\system32\sb2ctrl.dll: UPX!
I:\WINDOWS\system32\xlrkeg.exe: UPX!
I:\WINDOWS\system32\zvrqpf.exe: UPX!
Files Found in all users windows Folder............
------------------------
I:\WINDOWS\evxpveitq.exe: UPX!
I:\WINDOWS\svcproc.exe: UPX!
Finished
bye
Panda Onlinescan ist gescheitert, ich wurde aufgefordert einen ActiveX element zu installieren daraufhin werden alle I.e Fenster geschlossen. Habe es 3x versucht.
Den Virusscan kann ich aber auch mit den Norton machen, alle Updates aktuell!! Werde es morgen nachholen.
Kannst du mit den oben geposteten was anfangen?
Schöne Grüße
delaforce
- delaforce
- Beiträge: 4
- Registriert: 15.05.2005, 18:25
von Nikita am 18.05.2005, 01:02
•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
Messenger Plus! 3 (unbedingt (!)
StarMoney 4.0
loesche mit der Killbox:
I:\WINDOWS\system32\bsxnvvq.exe
I:\WINDOWS\system32\sb2ctrl.dll
I:\WINDOWS\system32\xlrkeg.exe
I:\WINDOWS\system32\zvrqpf.exe
mache andere Onlinescanns...(stelle die Sicherheitseinstellungen im Internetexplorer um --> niedrige Sicherheit)
"Start -> Einstellungen -> Systemsteuerung -> Software"
Messenger Plus! 3 (unbedingt (!)
StarMoney 4.0
loesche mit der Killbox:
I:\WINDOWS\system32\bsxnvvq.exe
I:\WINDOWS\system32\sb2ctrl.dll
I:\WINDOWS\system32\xlrkeg.exe
I:\WINDOWS\system32\zvrqpf.exe
mache andere Onlinescanns...(stelle die Sicherheitseinstellungen im Internetexplorer um --> niedrige Sicherheit)
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon