hallo, mein rechner spinnt schon wieder rum, bräuchte deshalb mal hilfe. hier also das log-file:

Logfile of HijackThis v1.99.1
Scan saved at 11:08:08, on 06.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\Netmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\LimeWire\LimeWire.exe
C:\Dokumente und Einstellungen\Torsten.HEIM-PC\Desktop\Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\System32\Netmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



danke schonmal!

Hallo@

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Net Functions Monitoring (Netmon) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Net Functions Monitoring (Netmon) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der "Net Functions Monitoring (Netmon) " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O23 - Service: Net Functions Monitoring (Netmon) - Unknown owner - C:\WINDOWS\System32\Netmon.exe

PC neustarten

Prozess mit Taskamanger beenden und die exe loeschen
C:\WINDOWS\System32\Netmon.exe

um den Virus/Backdoor(?) aus der registry zu entfernen, brauch ich folgendes:

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:


Net Functions Monitoring

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

reinkopieren:


Netmon

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

-----------------

um die Rootkits zu finden:

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Ni ... kfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus (mit Pfadangabe)

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Hallo erstmal- also ich bin neu hier und ich hab das Forum schon oft besucht, und diesmal brauch ich auch etwas unterstützung von euch, und zwar:

Da ich mir eine neue Festplatte gekauft hab (Raptor) hab ich Win XP installiert und ging daraufhin gleich ins netz ohne Firewall und Virenscanner (war ein fehler- ich weis), dachte mir nur kurz um mir den neuesten Grafikkartentreiber downzuloaden!

Als ich wieder off und war alles fertig installiert hab- neustart gemacht hab, ist mir im Taskmannager etwas neues aufgefallen (ich kenn im Taskmanager all meine prozesse) und zwar:

spoolsvc.exe - das war mir neu!

und

netmon.exe - das war mir auch neu!

Und als ich in die Verwaltung ging und auf Dienste(zwecks einstellung), sah ich da als Dienst wieder Netmon ok ich lies es!
Ok, seis drum, ich lies es ne weile so stehn bis ich echt probleme mit IE bekam- konnte jede 2te seite nicht öffnen!
Also erkundigte ich mich mal über spoolsvc.exe bei google- und tatsächlich ein Virus (Trojana), ok spoolsvc gefixt(auch aus registry)!
Aber das problem mit IE hatte ich trotzdem noch- also beendete ich auch netmon.exe zuerst im Taskmanager und dann hab ich den Dienst unter Verwaltung auch deaktiviert.

Auf einmal ging alles wieder........lol

Bei google wieder nachgeschaut und hier zum Thread gelandet
Also löschte ich auch netmon.exe in system.32!
So jetzt hab ich das problem das ich den Dienst "Netmon" alias "Net Funktions Monitoring" in der Verwaltung unter Díenste nicht mehr weg bekomm!
Ok, registrieinträge löschen dacht ich mir und ging zu diesen thread hier nochmal und ladete mir das tool von Nikita runter:

http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Gab ein- "Net Functions Monitoring" und das tool findet diese einträge:


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETMON\0000]
"DeviceDesc"="Net Functions Monitoring"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netmon]
"DisplayName"="Net Functions Monitoring"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETMON\0000]
"DeviceDesc"="Net Functions Monitoring"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Netmon]
"DisplayName"="Net Functions Monitoring"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETMON\0000]
"DeviceDesc"="Net Functions Monitoring"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmon]
"DisplayName"="Net Functions Monitoring"


Ich kann diese einträge nicht manuell löschen!


Und dann gab ich auch beim tool "Netmon" ein, und es kam das:


[HKEY_USERS\S-1-5-21-776561741-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"g"="C:\\Dokumente und Einstellungen\\Maximilian\\Desktop\\Netmon reg..txt"

[HKEY_USERS\S-1-5-21-776561741-1715567821-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\txt]
"a"="C:\\Dokumente und Einstellungen\\Maximilian\\Desktop\\Netmon reg..txt"



Was kann ich machen um das zu Fixen und, um endlich den Netmon aus den Diensten zu entfernen?


mfg

Hallo@Yvonne

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Netmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmon]



Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.


danach:starte sofort wieder in den normalmodus

Winpfind -->alles posten
http://nikita.eddys-domain.de/winpfind.html

Start--> Ausfuehren--> cmd-->DOS oeffnet sich kopiere nur die Eintraege der 30 letzten Tage raus (mit pfad)

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Versteh ned:

"DOS oeffnet sich kopiere nur die Eintraege der 30 letzten Tage raus (mit pfad)"

????

Was soll ich einzeln in DOS reinkopieren? Das hier:


cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit

Und was passiert dann wenn ich das eingib? Was sind das für kommandos?

Und was is mit dieser datei die ich mit dem Editor erstellt hab, und geöffnet hab?

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Netmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmon]



Bitte EXAKTE angaben, please

ich denke, ich bin eindeutig in meinen Anweisungen gewesen...was soll ich noch erklaeren.
Lies alles genau durch

Ohne das ich dir jetz auf die Nerven gehn will aber wieso soll ich das machen:

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Netmon]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETMON\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmon]



Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
Die Datei "fixme.reg" auf dem Desktop doppelklicken.


danach:starte sofort wieder in den normalmodus


???????

Und was meinst du mit:

"DOS oeffnet sich kopiere nur die Eintraege der 30 letzten Tage raus (mit pfad)"

???????

wenn du cmd eingibst, wird sich das DOS-Fenster oeffnen.

dann kopierst du rein:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

nun wird sich der texteditor oeffnen, und alle Dateien unter System32 anzeigen, schoen nach Datum geordnet.

davon kopierst du mir 30 Tage raus, denn ich brauche keine Dateien von 2004

dann schliesst du DOS und wiederholst alles mit den anderen drei Sachen.

ich werde es mir aber erst morgen ansehen, denn ich muss jetzt weg

Ah, ok verstehe- hier: (OS wurde erst vor ein paar tagen installiert- ich glaub am 7ten)

1:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC13-F8B3

Verzeichnis von C:\WINDOWS\system32

10.08.2005 21:11 2.206 wpa.dbl
08.08.2005 14:32 23.392 nscompat.tlb
08.08.2005 14:32 16.832 amcompat.tlb
08.08.2005 05:59 66.496 perfc009.dat
08.08.2005 05:59 80.142 perfc007.dat
08.08.2005 05:59 469.254 perfh007.dat
08.08.2005 05:59 452.308 perfh009.dat
08.08.2005 05:59 1.054.782 PerfStringBackup.INI
07.08.2005 16:45 189.792 FNTCACHE.DAT
07.08.2005 09:41 90 spupdwxp.log
07.08.2005 05:52 552 d3d8caps.dat
07.08.2005 05:28 3.534 jupdate-1.5.0_03-b07.log
07.08.2005 02:47 44 msssc.dll
07.08.2005 02:43 0 TFTP584
07.08.2005 02:11 0 h323log.txt
07.08.2005 01:22 25.065 wmpscheme.xml
07.08.2005 01:19 386 $winnt$.inf
07.08.2005 01:17 2.951 CONFIG.NT
07.08.2005 01:16 488 logonui.exe.manifest
07.08.2005 01:16 488 WindowsLogon.manifest
07.08.2005 01:16 749 ncpa.cpl.manifest
07.08.2005 01:16 749 nwc.cpl.manifest
07.08.2005 01:16 749 sapi.cpl.manifest
07.08.2005 01:16 749 wuaucpl.cpl.manifest
07.08.2005 01:16 749 cdplayer.exe.manifest
07.08.2005 01:14 21.740 emptyregdb.dat
03.08.2005 10:33 520.456 LegitCheckControl.DLL
03.08.2005 10:33 23.304 GWFSPidGen.DLL
12.07.2005 15:35 117.976 hashlib.dll
12.07.2005 15:35 126.680 GCCollection.dll
12.07.2005 15:35 95.448 gcUnCompress.dll
06.07.2005 19:26 1.375.064 MRT.exe


2:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC13-F8B3

Verzeichnis von C:\DOKUME~1\MAXIMI~1\LOKALE~1\Temp

10.08.2005 22:16 153 events.log
10.08.2005 22:16 153 prof.log
10.08.2005 22:11 46.080 ~e5d141.tmp
10.08.2005 21:08 32.768 ~DF9144.tmp
10.08.2005 21:08 32.768 ~DF63F4.tmp
10.08.2005 21:08 13.016 jusched.log
10.08.2005 20:10 172.051 acminidump.dmp
10.08.2005 19:14 0 ACIS.ac$
10.08.2005 15:49 32.768 ~DF8E6C.tmp
10.08.2005 15:49 32.768 ~DF5DFB.tmp
09.08.2005 22:09 2.814 java_install_reg.log
09.08.2005 17:00 32.768 ~DF96D3.tmp
09.08.2005 17:00 32.768 ~DF63FC.tmp
09.08.2005 02:38 32.768 ~DF9483.tmp
09.08.2005 02:38 32.768 ~DF5F64.tmp
09.08.2005 01:06 2.010 MSIfe12b.LOG
09.08.2005 00:54 306 MSI4db15.LOG
09.08.2005 00:54 306 MSI4db14.LOG
09.08.2005 00:53 306 MSI4db13.LOG
09.08.2005 00:53 306 MSI4db12.LOG
09.08.2005 00:52 306 MSI4db11.LOG
09.08.2005 00:52 306 MSI4db10.LOG
09.08.2005 00:52 306 MSI4db0f.LOG
09.08.2005 00:52 306 MSI4db0e.LOG
09.08.2005 00:37 11.224 CFG4A.tmp
09.08.2005 00:37 11.224 CFG47.tmp
09.08.2005 00:36 11.224 CFG42.tmp
09.08.2005 00:36 11.224 CFG40.tmp
09.08.2005 00:36 456 MSI4db0d.LOG
09.08.2005 00:35 11.224 CFG3B.tmp
09.08.2005 00:32 11.224 CFG35.tmp
09.08.2005 00:32 11.224 CFG32.tmp
09.08.2005 00:24 306 MSI4db0c.LOG
09.08.2005 00:23 306 MSI4db0b.LOG
09.08.2005 00:22 306 MSI4db0a.LOG
09.08.2005 00:22 306 MSI4db09.LOG
09.08.2005 00:22 306 MSI4db08.LOG
09.08.2005 00:21 306 MSI4db07.LOG
09.08.2005 00:21 306 MSI4db06.LOG
09.08.2005 00:19 306 MSI4db05.LOG
09.08.2005 00:19 306 MSI4db04.LOG
09.08.2005 00:19 306 MSI4db03.LOG
09.08.2005 00:19 306 MSI4db02.LOG
09.08.2005 00:19 306 MSI4db01.LOG
08.08.2005 23:21 32.768 ~DF8ED1.tmp
08.08.2005 23:21 32.768 ~DF61CE.tmp
08.08.2005 22:18 32.768 ~DFC249.tmp
08.08.2005 22:17 32.768 ~DF99F9.tmp
08.08.2005 19:11 32.768 ~DF179C.tmp
08.08.2005 17:29 32.768 ~DF8D21.tmp
08.08.2005 16:34 32.768 ~DFA60C.tmp
08.08.2005 16:29 798.234 IMT8.xml
08.08.2005 16:29 426 IMT7.xml
08.08.2005 16:29 2.036 IMT6.xml
08.08.2005 16:14 32.768 ~DF9BB0.tmp
08.08.2005 14:44 32.768 ~DF8ECB.tmp
08.08.2005 13:13 32.768 ~DF75E3.tmp
08.08.2005 13:12 32.768 ~DF2916.tmp
08.08.2005 13:12 32.768 ~DFF0A1.tmp
08.08.2005 11:46 32.768 ~DFDB82.tmp
08.08.2005 11:46 32.768 ~DFC517.tmp
08.08.2005 11:43 32.768 ~DFE73D.tmp
08.08.2005 11:43 32.768 ~DF9587.tmp
08.08.2005 11:04 32.768 ~DF8022.tmp
08.08.2005 11:04 32.768 ~DF5DFA.tmp
08.08.2005 10:13 32.768 ~DF1E26.tmp
08.08.2005 10:13 32.768 ~DFAE20.tmp
08.08.2005 09:42 32.768 ~DF82E1.tmp
08.08.2005 09:42 32.768 ~DF5C03.tmp
08.08.2005 09:10 32.768 ~DF8225.tmp
08.08.2005 09:10 32.768 ~DF5D6C.tmp
08.08.2005 08:54 4.876 $$$8.html
08.08.2005 06:07 32.768 ~DF92D3.tmp
08.08.2005 06:05 32.768 ~DF7FC7.tmp
08.08.2005 06:04 14.413 netfxupdate.log
08.08.2005 06:04 21.912 netfxsl.log
08.08.2005 06:01 32.768 ~DFC1C8.tmp
08.08.2005 05:59 7.734 ASPNETSetup.log
08.08.2005 05:49 32.768 ~DF80A6.tmp
08.08.2005 05:45 32.768 ~DFEF3F.tmp
08.08.2005 04:32 32.768 ~DF8C25.tmp
08.08.2005 04:30 32.768 ~DF7EA2.tmp
08.08.2005 04:07 32.768 ~DF6AE1.tmp
08.08.2005 02:47 32.768 ~DF88D2.tmp
08.08.2005 02:47 32.768 ~DF6DAF.tmp
07.08.2005 17:22 687 TWAIN.LOG
07.08.2005 17:22 2 Twain001.Mtx
07.08.2005 17:22 0 Twunk002.MTX
07.08.2005 17:22 156 Twunk001.MTX
07.08.2005 17:22 84 dw.log
07.08.2005 17:08 32.768 ~DFBB79.tmp
07.08.2005 16:55 32.768 ~DF90A1.tmp
07.08.2005 16:46 3.584 edac.mst
07.08.2005 16:46 32.768 ~DF56DC.tmp
07.08.2005 16:42 20 ~23F.tmp
07.08.2005 16:42 3.584 8dc5b4.mst
07.08.2005 16:41 20 ~216.tmp
07.08.2005 16:40 3.584 8c46c5.mst
07.08.2005 16:40 20 ~1ED.tmp
07.08.2005 16:39 3.584 8b4b8c.mst
07.08.2005 14:19 32.768 ~DF19FD.tmp
07.08.2005 14:11 32.768 ~DFA9BC.tmp
07.08.2005 13:55 32.768 ~DFF3B1.tmp
07.08.2005 12:08 3.661 msiutil(1).log
07.08.2005 12:05 32.768 ~DFC2B7.tmp
07.08.2005 11:47 32.768 ~DFA991.tmp
07.08.2005 11:29 32.768 ~DFA7C2.tmp
07.08.2005 11:18 32.768 ~DF923C.tmp
07.08.2005 11:06 9.576 Microsoft Office 2003 Setup(0001).txt
07.08.2005 11:06 392.044 Microsoft Office 2003 Setup(0001)_Task(0001).txt
07.08.2005 11:02 49.303 offcln11.log
07.08.2005 10:47 32.768 ~DF9706.tmp
07.08.2005 10:01 107.512 Set2.tmp
07.08.2005 10:00 0 ~10.tmp
07.08.2005 09:57 32.768 ~DF8A5F.tmp
07.08.2005 09:46 798.234 IMT36.xml
07.08.2005 09:46 426 IMT35.xml
07.08.2005 09:46 2.036 IMT34.xml
07.08.2005 09:42 32.768 ~DF80E7.tmp
07.08.2005 09:42 32.768 ~DF69D4.tmp
07.08.2005 09:23 32.768 ~DF647.tmp
07.08.2005 09:23 32.768 ~DFC9C6.tmp
07.08.2005 08:08 32.768 ~DFB406.tmp
07.08.2005 08:08 32.768 ~DF7D72.tmp
07.08.2005 07:49 32.768 ~DFBDB0.tmp
07.08.2005 06:29 32.768 ~DFA7DB.tmp
07.08.2005 06:27 20 ~D5.tmp
07.08.2005 06:24 32.768 ~DF26B.tmp
07.08.2005 06:24 32.768 ~DFC718.tmp
07.08.2005 06:21 5.310 plfFD.tmp
07.08.2005 06:15 32.768 ~DFFA71.tmp
07.08.2005 06:15 32.768 ~DFBFF3.tmp
07.08.2005 06:12 20 ~AAB.tmp
07.08.2005 05:28 270.224 java_install.log
07.08.2005 05:27 2.312 dotNetFx.log
07.08.2005 05:23 0 ~3.tmp
07.08.2005 05:20 32.768 ~DF42E2.tmp
07.08.2005 05:20 32.768 ~DFD6A.tmp
07.08.2005 05:17 32.768 ~DFEC8C.tmp
07.08.2005 05:11 0 ~2.tmp
07.08.2005 05:05 32.768 ~DF5F7C.tmp
07.08.2005 05:02 32.768 ~DFE97D.tmp
07.08.2005 05:02 32.768 ~DFAF20.tmp
07.08.2005 04:51 32.768 ~DFE679.tmp
07.08.2005 04:51 32.768 ~DFABC3.tmp
07.08.2005 04:49 20 ~89.tmp
07.08.2005 04:45 20 ~62.tmp
07.08.2005 04:39 32.768 ~DF58BC.tmp
07.08.2005 04:39 32.768 ~DF4883.tmp
07.08.2005 04:38 229.376 ~DFFBD2.tmp
07.08.2005 04:20 32.768 ~DF1A11.tmp
07.08.2005 04:20 32.768 ~DF5F2.tmp
07.08.2005 04:08 0 ~40.tmp
07.08.2005 03:09 32.768 ~DF986.tmp
07.08.2005 03:09 32.768 ~DFF29D.tmp
07.08.2005 03:06 180.224 ~DF7576.tmp
07.08.2005 03:04 32.768 ~DFD113.tmp
07.08.2005 03:03 32.768 ~DF6AC1.tmp
07.08.2005 02:44 32.768 ~DFD114.tmp
07.08.2005 02:28 32.768 ~DF5C44.tmp
07.08.2005 01:26 33.120 AAX50.tmp
04.08.2005 07:26 93 DFC5A2B2.TMP
04.08.2004 09:58 299.520 setb0.tmp
04.08.2004 09:58 2.105.344 setb3.tmp
04.08.2004 09:57 151.552 setb2.tmp
04.08.2004 09:57 230.400 setb1.tmp
29.01.2004 08:34 25.826.816 2ba7a8.msp
12.01.2004 17:44 233.472 _is2.tmp
12.01.2004 17:44 233.472 _is7.tmp


3:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC13-F8B3

Verzeichnis von C:\WINDOWS

10.08.2005 21:17 1.304.629 WindowsUpdate.log
10.08.2005 21:08 0 0.log
10.08.2005 21:08 2.048 bootstat.dat
10.08.2005 21:07 12.010 SchedLgU.Txt
10.08.2005 07:38 50 wiaservc.log
10.08.2005 07:38 216 wiadebug.log
09.08.2005 01:06 4.270 DirectX.log
08.08.2005 19:49 113.911 setupapi.log
08.08.2005 17:48 107.892 wmsetup.log
08.08.2005 14:33 458 wmsetup10.log
08.08.2005 14:32 316.640 WMSysPr9.prx
08.08.2005 14:31 599 win.ini
08.08.2005 12:12 838 Sof2.INI
08.08.2005 06:00 4.332 COM+.log
08.08.2005 05:33 1.510 OEWABLog.txt
07.08.2005 12:07 358.019 iis6.log
07.08.2005 12:07 99.094 comsetup.log
07.08.2005 12:07 59.535 ntdtcsetup.log
07.08.2005 12:07 8.214 tabletoc.log
07.08.2005 12:07 128.189 tsoc.log
07.08.2005 12:07 1.355 imsins.log
07.08.2005 12:07 13.338 ocmsn.log
07.08.2005 12:07 18.388 KB890859.log
07.08.2005 12:07 28.466 netfxocm.log
07.08.2005 12:07 12.913 medctroc.Log
07.08.2005 12:07 134.431 ocgen.log
07.08.2005 12:07 13.719 msgsocm.log
07.08.2005 12:07 263.690 FaxSetup.log
07.08.2005 12:07 90.402 msmqinst.log
07.08.2005 12:07 4.587 updspapi.log
07.08.2005 12:02 1.355 imsins.BAK
07.08.2005 12:02 18.740 KB896422.log
07.08.2005 12:02 18.486 KB885835.log
07.08.2005 12:02 17.488 KB885836.log
07.08.2005 12:02 18.305 KB885250.log
07.08.2005 12:02 17.479 KB873339.log
07.08.2005 12:01 17.550 KB888113.log
07.08.2005 12:01 18.095 KB887742.log
07.08.2005 12:01 17.294 KB887472.log
07.08.2005 12:01 19.392 KB883939.log
07.08.2005 12:01 15.266 KB896358.log
07.08.2005 12:01 14.240 KB891781.log
07.08.2005 12:01 15.223 KB890046.log
07.08.2005 12:01 14.611 KB893066.log
07.08.2005 12:01 14.213 KB873333.log
07.08.2005 12:00 12.529 KB901214.log
07.08.2005 12:00 6.136 KB903235.log
07.08.2005 12:00 11.863 KB888302.log
07.08.2005 12:00 7.742 KB886185.log
07.08.2005 12:00 12.654 KB893086.log
07.08.2005 12:00 12.719 KB896428.log
07.08.2005 11:27 7.187 KB898461.log
07.08.2005 11:27 5.322 KB893803v2.log
07.08.2005 11:04 400 ODBC.INI
07.08.2005 10:56 1.201.219 setupapi.log.0.old
07.08.2005 10:22 4.201 Ascd_tmp.ini
07.08.2005 10:18 182.624 setupact.log
07.08.2005 09:55 1.530 ATIWDM.LOG
07.08.2005 09:52 0 nsreg.dat
07.08.2005 09:52 99.970 UninstallFirefox.exe
07.08.2005 09:52 2.608 mozver.dat
07.08.2005 09:42 28.950 spupdsvc.log
07.08.2005 09:42 360 DtcInstall.log
07.08.2005 09:42 747.300 setuplog.txt
07.08.2005 09:40 443.703 svcpack.log
07.08.2005 09:39 200 cmsetacl.log
07.08.2005 09:38 1.330 sessmgr.setup.log
07.08.2005 08:04 28.424 xpsp1hfm.log
07.08.2005 08:04 32.441 KB828741.log
07.08.2005 08:04 27.661 KB835732.log
07.08.2005 08:04 19.440 Q329834.log
07.08.2005 08:04 21.898 KB823559.log
07.08.2005 08:03 18.872 Q329048.log
07.08.2005 08:03 17.769 KB834707-IE6-20040929.115007.log
07.08.2005 08:03 14.405 Q810577.log
07.08.2005 08:03 12.005 Q810833.log
07.08.2005 08:03 8.958 Q811630.log
07.08.2005 08:03 7.892 Q329441.log
07.08.2005 08:02 7.590 Q817606.log
07.08.2005 08:02 4.503 Q329170.log
07.08.2005 08:02 1.610 Q329115.log
07.08.2005 08:02 1.247 Q329390.log
07.08.2005 08:02 961 Q323255.log
07.08.2005 06:11 1.246 TMFilter.log
07.08.2005 02:07 0 Sti_Trace.log
07.08.2005 02:05 1.348 regopt.log
07.08.2005 02:05 231 system.ini
07.08.2005 02:04 0 setuperr.log
07.08.2005 01:58 594 EventSystem.log
07.08.2005 01:52 5.775 KB842773.log
07.08.2005 01:29 478 Windows Update.log
07.08.2005 01:20 8.192 REGLOCS.OLD
07.08.2005 01:17 0 control.ini
07.08.2005 01:17 299.552 WMSysPrx.prx
07.08.2005 01:17 4.161 ODBCINST.INI
07.08.2005 01:16 749 WindowsShell.Manifest
07.08.2005 01:14 37 vbaddin.ini
07.08.2005 01:14 36 vb.ini
27.05.2005 01:22 10.752 hh.exe
04.08.2004 09:58 288.768 winhlp32.exe
04.08.2004 09:58 32.866 slrundll.exe


4: (Alles)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC13-F8B3

Verzeichnis von C:\

11.08.2005 00:17 0 sys.txt
11.08.2005 00:16 7.001 system.txt
11.08.2005 00:13 8.760 systemtemp.txt
11.08.2005 00:10 96.058 system32.txt
10.08.2005 21:08 1.610.612.736 pagefile.sys
07.08.2005 09:39 211 boot.ini
07.08.2005 09:35 47.564 NTDETECT.COM
07.08.2005 09:35 251.184 ntldr
07.08.2005 01:17 0 IO.SYS
07.08.2005 01:17 0 CONFIG.SYS
07.08.2005 01:17 0 AUTOEXEC.BAT
07.08.2005 01:17 0 MSDOS.SYS
23.08.2001 14:00 4.952 bootfont.bin
13 Datei(en) 1.611.028.466 Bytes
0 Verzeichnis(se), 61.410.811.904 Bytes frei



Und hier mein Log von Hijack, aber ich denke da is alles in ordnung:


Logfile of HijackThis v1.99.1
Scan saved at 22:13:07, on 10.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\3dsmax6\3dsmax.exe
C:\DOKUME~1\MAXIMI~1\LOKALE~1\Temp\~e5d141.tmp
C:\DOKUME~1\MAXIMI~1\LOKALE~1\Temp\~e5d141.tmp
C:\Programme\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = auto:blank
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Programme\hijackthis_199\HijackThis.exe /startupscan
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3371474304
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 3372120498
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FC94E2-5022-467F-A3ED-635F07C19A99}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe


Und von WinPFind:


»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600
Internet Explorer Version: 6.0.2900.2180

»»»»»»»»»»»»»»»»» Checking Selected Standard Folders »»»»»»»»»»»»»»»»»»»»

Checking %SystemDrive% folder...

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...

Checking %System% folder...
PEC2 23.08.2001 14:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PTech 03.08.2005 10:33:42 520456 C:\WINDOWS\SYSTEM32\LegitCheckControl.DLL
PECompact2 05.08.2005 03:31:56 1457496 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 05.08.2005 03:31:56 1457496 C:\WINDOWS\SYSTEM32\MRT.exe
aspack 04.08.2004 09:57:08 733696 C:\WINDOWS\SYSTEM32\ntdll.dll
Umonitor 04.08.2004 09:57:32 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 23.08.2001 14:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu

Checking %System%\Drivers folder and sub-folders...
PTech 04.08.2004 07:41:38 1309184 C:\WINDOWS\SYSTEM32\drivers\mtlstrm.sys
UPX! 18.02.2005 18:43:18 962672 C:\WINDOWS\SYSTEM32\drivers\VsapiNT.sys
aspack 18.02.2005 18:43:18 962672 C:\WINDOWS\SYSTEM32\drivers\VsapiNT.sys

Items found in C:\WINDOWS\SYSTEM32\drivers\etc\hosts


Checking the Windows folder for system and hidden files within the last 60 days...
07.08.2005 01:16:58 749 C:\WINDOWS\WindowsShell.Manifest
07.08.2005 05:27:02 227 C:\WINDOWS\assembly\Desktop.ini
07.08.2005 01:17:00 65 C:\WINDOWS\Downloaded Program Files\desktop.ini
07.08.2005 01:17:24 67 C:\WINDOWS\Fonts\desktop.ini
07.08.2005 01:49:14 0 C:\WINDOWS\inf\oem2.inf
07.08.2005 01:49:56 0 C:\WINDOWS\inf\oem3.inf
07.08.2005 01:17:00 65 C:\WINDOWS\Offline Web Pages\desktop.ini
07.08.2005 01:17:12 243468 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_1.cab
07.08.2005 01:17:12 20293 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_2.cab
07.08.2005 01:17:12 765 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_3.cab
07.08.2005 09:39:12 333502 C:\WINDOWS\PCHEALTH\HELPCTR\PackageStore\package_5.cab
07.08.2005 01:17:42 233472 C:\WINDOWS\repair\ntuser.dat
07.08.2005 01:16:58 749 C:\WINDOWS\system32\cdplayer.exe.manifest
07.08.2005 01:17:00 488 C:\WINDOWS\system32\logonui.exe.manifest
07.08.2005 01:16:58 749 C:\WINDOWS\system32\ncpa.cpl.manifest
07.08.2005 01:16:58 749 C:\WINDOWS\system32\nwc.cpl.manifest
07.08.2005 01:16:58 749 C:\WINDOWS\system32\sapi.cpl.manifest
07.08.2005 01:17:00 488 C:\WINDOWS\system32\WindowsLogon.manifest
07.08.2005 01:16:58 749 C:\WINDOWS\system32\wuaucpl.cpl.manifest
11.08.2005 03:40:12 1024 C:\WINDOWS\system32\config\default.LOG
11.08.2005 03:39:40 1024 C:\WINDOWS\system32\config\SAM.LOG
11.08.2005 03:49:42 1024 C:\WINDOWS\system32\config\SECURITY.LOG
11.08.2005 05:05:02 24576 C:\WINDOWS\system32\config\software.LOG
11.08.2005 04:57:42 1024 C:\WINDOWS\system32\config\system.LOG
07.08.2005 03:02:08 1024 C:\WINDOWS\system32\config\TempKey.LOG
07.08.2005 03:02:08 1024 C:\WINDOWS\system32\config\userdiff.LOG
11.08.2005 02:31:28 1024 C:\WINDOWS\system32\config\systemprofile\ntuser.dat.LOG
07.08.2005 02:05:04 62 C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\desktop.ini
07.08.2005 02:05:04 62 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\desktop.ini
07.08.2005 01:17:12 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\desktop.ini
07.08.2005 01:17:12 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\desktop.ini
07.08.2005 01:17:12 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6RNV74J6\desktop.ini
07.08.2005 01:17:12 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8LUFCLM7\desktop.ini
07.08.2005 01:17:12 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDQE87CA\desktop.ini
07.08.2005 01:17:12 67 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VMR53ULQ\desktop.ini
07.08.2005 01:17:12 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\desktop.ini
07.08.2005 01:17:12 113 C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\desktop.ini
07.08.2005 01:17:02 187 C:\WINDOWS\system32\config\systemprofile\SendTo\desktop.ini
07.08.2005 02:05:04 62 C:\WINDOWS\system32\config\systemprofile\Startmenü\desktop.ini
07.08.2005 01:17:40 208 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\desktop.ini
07.08.2005 01:17:40 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
07.08.2005 01:17:40 495 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\desktop.ini
07.08.2005 01:17:40 303 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Eingabehilfen\desktop.ini
07.08.2005 01:17:40 84 C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Zubehör\Unterhaltungsmedien\desktop.ini
07.08.2005 09:41:38 388 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\6df2d961-889e-42d3-a5e6-7ec24d28ce25
07.08.2005 09:41:38 24 C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\Preferred
11.08.2005 03:39:38 6 C:\WINDOWS\Tasks\SA.DAT
07.08.2005 01:31:46 15 C:\WINDOWS\Temp\data\dbisam.lck

»»»»»»»»»»»»»»»»» Checking Selected Startup Folders »»»»»»»»»»»»»»»»»»»»»

Checking files in %ALLUSERSPROFILE%\Startup folder...

Checking files in %ALLUSERSPROFILE%\Application Data folder...

Checking files in %USERPROFILE%\Startup folder...

Checking files in %USERPROFILE%\Application Data folder...

»»»»»»»»»»»»»»»»» Checking Selected Registry Keys »»»»»»»»»»»»»»»»»»»»»»»

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
SV1 =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]

[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers]
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
{09799AFB-AD67-11d1-ABCD-00C04FC30936} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\X² Archiver
{02E5FB41-58AD-11D4-8EDD-444553540018} =
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{48F45200-91E6-11CE-8A4F-0080C81A28D4}
= C:\Programme\Trend Micro\Internet Security 2005\Tmdshell.dll
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}
Start Menu Pin = %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\{48F45200-91E6-11CE-8A4F-0080C81A28D4}
= C:\Programme\Trend Micro\Internet Security 2005\Tmdshell.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\EncryptionMenu
{A470F8CF-A1E8-4f65-8335-227475AA5C46} = %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Offline Files
{750fdf0e-2a26-11d1-a3ea-080036587f03} = %SystemRoot%\System32\cscui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing
{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} = ntshrui.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\WinRAR
{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programme\WinRAR\rarext.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{0D2E74C4-3C34-11d2-A27E-00C04FC30871}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F01-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{24F14F02-7B1C-11d1-838f-0000F80461CF}
= %SystemRoot%\system32\SHELL32.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\{66742402-F9B9-11D1-A202-0000F81FEDEE}
= %SystemRoot%\system32\SHELL32.dll

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}
PCTools Site Guard = C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B56A7D7D-6927-48C8-A975-17DF180C71AC}
PCTools Browser Monitor = C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\System32\shdocvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ToolBar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
MenuText = Sun Java Konsole : C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{2D663D1A-8670-49D9-A1A5-4C56B4E14E84}
ButtonText = Spyware Doctor :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
ButtonText = Recherchieren :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}
ButtonText = Messenger : C:\Programme\Messenger\msmsgs.exe

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{32683183-48a0-441b-a342-7c2a440a9478}
=

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\System32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
PtiuPbmd Rundll32.exe ptipbm.dll,SetWriteBack
gcasServ "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
IntelliPoint "C:\Programme\Microsoft IntelliPoint\point32.exe"
SunJavaUpdateSched C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
ATIPTA "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
Profiler C:\Programme\Saitek\Software\Profiler.exe
SaiSmart C:\Programme\Saitek\Software\SaiSmart.exe
NeroFilterCheck C:\WINDOWS\system32\NeroCheck.exe
pccguide.exe "C:\Programme\Trend Micro\Internet Security 2005\pccguide.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
IMAIL Installed = 1
MAPI Installed = 1
MSFS Installed = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE C:\WINDOWS\system32\ctfmon.exe
HijackThis startup scan C:\Programme\hijackthis_199\HijackThis.exe /startupscan

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\load]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
dontdisplaylastusername 0
legalnoticecaption
legalnoticetext
shutdownwithoutlogon 1
undockwithoutlogon 1


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoDriveTypeAutoRun 145


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
PostBootReminder {7849596a-48ea-486e-8937-a2a3009f31a9} = %SystemRoot%\system32\SHELL32.dll
CDBurn {fbeb8a05-beee-4442-804e-409d6c4515e9} = %SystemRoot%\system32\SHELL32.dll
WebCheck {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = %SystemRoot%\System32\webcheck.dll
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\System32\stobject.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
Shell = Explorer.exe
System =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
= Ati2evxx.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
= crypt32.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
= cryptnet.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
= cscdll.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
= sclgntfy.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
= WlNotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
= wlnotify.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
= wlnotify.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path
Debugger = ntsd -d

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs


»»»»»»»»»»»»»»»»»»»»»»»» Scan Complete »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

•KillBox
http://bilder.informationsarchiv.net/Ni ... illBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

von hier aus reinkopieren:

C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\system32\TFTP584

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

ueberpruefe, ob die Eintraege in der Registry nach Anwendung der reg-Datei+ Neustart weg sind und berichte:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETMON\0000]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netmon]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETMON\0000]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Netmon]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETMON\0000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmon]


Onlinescan:McAfee FreeScan (Online)-->berichte vom Scan
http://nikita.eddys-domain.de/onlinescan.html

C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\system32\TFTP584

Wurden gelöscht. (mit Killbox)

Die Registryeinträge sind immer noch da:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETMON\0000]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Netmon]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NETMON\0000]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Netmon]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETMON\0000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netmon]

Temporäre Internet files sind auch gelöscht.

Und der Scan von McAffee dauert noch ne weile......

EDIT: McAffe hat nichts gefunden.

Start --Ausfuehren -- regedit (reinschreiben)

Sollte man Probleme haben, die Einträge zu löschen,

„Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“,

dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK

Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
http://nikita.eddys-domain.de/023service.html

PC neustarten

Ok- mach ich, könntest du mir noch sagen was diese zwei dateien genau waren die ich vorhin gelöscht hab, kennst du die- waren das definitiv Viren?

C:\WINDOWS\system32\msssc.dll
C:\WINDOWS\system32\TFTP584

EDIT: Alle Registry einträge gelöscht- und Netmon is nicht mehr vorhanden (auch nicht mehr in der Verwaltung unter Dienste).

Danke Nikita!

TFTP584 das ist ein FTP-Server, mit dem der backdoor zu deinem PC Verbindung aufnimmt und somit Zugang hat-

msssc.dll ist wahrscheinlich im Browser verankert gewesen und somit kann der Backdoor alles verfolgen, wohin du surfst und welche passworte usw. du eingibst.