Meine Combofix Log, bitte schut sie euch an und helft mir pl
16 Beiträge • Seite 1 von 2 • 1, 2
Meine Combofix Log, bitte schut sie euch an und helft mir pl
von RangerNed am 14.08.2006, 15:15
Start Time= 14.08.2006 15:10:48,32
Running from: C:\Programme\Mozilla Firefox
QuickScan did not find any signs of infected files
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-08-13 21:28:16 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-08-13 20:15:00 ( .D... ) "C:\Programme\HijackThis"
2006-08-13 00:00:30 ( .D... ) "C:\Programme\Ashampoo"
2006-08-12 20:04:32 ( .D... ) "C:\Programme\Stardock"
2006-08-12 20:02:40 ( .D... ) "C:\Programme\Gemeinsame Dateien\Stardock"
2006-08-12 20:02:40 ( .D... ) "C:\Programme\AlienGUIse"
2006-08-11 14:54:44 98304 ( A.... ) "C:\WINDOWS\system32\CmdLineExt.dll"
2006-08-11 14:37:20 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\InstallShield"
2006-08-08 10:26:50 ( .D... ) "C:\Programme\KONAMI"
2006-08-07 16:18:04 ( .D... ) "C:\Programme\Dungeon Siege II Tool Kit"
2006-08-03 19:25:26 ( .D... ) "C:\Programme\Microsoft Games"
2006-07-28 18:31:18 2560 ( A.... ) "C:\WINDOWS\_MSRSTRT.EXE"
2006-07-27 15:25:20 679424 ( A.... ) "C:\WINDOWS\system32\inetcomm.dll"
2006-07-22 20:00:04 34308 ( A.... ) "C:\WINDOWS\system32\BASSMOD.dll"
2006-07-22 19:36:10 ( .D... ) "C:\Programme\ISO Commander"
2006-07-21 10:29:00 72704 ( A.... ) "C:\WINDOWS\system32\hlink.dll"
2006-07-19 04:58:30 258048 ( A.... ) "C:\WINDOWS\system32\ati2dvag.dll"
2006-07-19 04:53:28 114688 ( A.... ) "C:\WINDOWS\system32\atipdlxx.dll"
2006-07-19 04:53:10 77824 ( A.... ) "C:\WINDOWS\system32\Oemdspif.dll"
2006-07-19 04:53:04 26112 ( A.... ) "C:\WINDOWS\system32\Ati2mdxx.exe"
2006-07-19 04:52:58 41984 ( A.... ) "C:\WINDOWS\system32\ati2edxx.dll"
2006-07-19 04:52:48 86016 ( A.... ) "C:\WINDOWS\system32\ati2evxx.dll"
2006-07-19 04:51:44 401408 ( A.... ) "C:\WINDOWS\system32\ati2evxx.exe"
2006-07-19 04:51:10 53248 ( A.... ) "C:\WINDOWS\system32\ATIDDC.DLL"
2006-07-19 04:44:36 2732608 ( A.... ) "C:\WINDOWS\system32\ati3duag.dll"
2006-07-19 04:39:08 1744416 ( A.... ) "C:\WINDOWS\system32\ativvaxx.dll"
2006-07-19 04:27:58 204800 ( A.... ) "C:\WINDOWS\system32\atikvmag.dll"
2006-07-19 04:26:50 17408 ( A.... ) "C:\WINDOWS\system32\atitvo32.dll"
2006-07-19 04:23:48 307200 ( A.... ) "C:\WINDOWS\system32\atiiiexx.dll"
2006-07-19 04:22:52 6684672 ( A.... ) "C:\WINDOWS\system32\atioglx1.dll"
2006-07-19 04:22:08 286720 ( A.... ) "C:\WINDOWS\system32\ati2cqag.dll"
2006-07-19 04:21:52 290816 ( A.... ) "C:\WINDOWS\system32\ATIDEMGR.dll"
2006-07-19 04:13:46 5136384 ( A.... ) "C:\WINDOWS\system32\atioglxx.dll"
2006-07-18 21:05:00 520192 ( ..... ) "C:\WINDOWS\system32\ati2sgag.exe"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-07-13 15:34:28 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll"
2006-07-12 22:20:22 ( .D... ) "C:\Programme\Gemeinsame Dateien\Napster Shared"
2006-07-05 12:55:22 1057792 ( A.... ) "C:\WINDOWS\system32\kernel32.dll"
2006-06-26 19:40:34 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-06-26 19:40:34 8192 ( A.... ) "C:\WINDOWS\system32\rasadhlp.dll"
2006-06-22 15:59:16 8766 ( A.... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\PhotoPro.state.xml"
2006-06-20 12:24:16 ( .D... ) "C:\Programme\SoundTaxi"
2006-06-19 22:58:50 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Roxio"
2006-06-19 22:31:44 ( .D... ) "C:\Programme\Napster"
2006-06-19 18:14:02 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-06-19 16:20:42 702768 ( A.... ) "C:\WINDOWS\system32\WgaLogon.dll"
2006-06-16 16:44:56 513536 ( A.... ) "C:\WINDOWS\system32\SndTDriverV32.sys"
2006-06-16 00:30:54 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\CyberLink"
2006-06-14 17:52:50 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Atari"
2006-06-14 17:49:50 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Leadertech"
2006-06-10 20:14:02 21840 ( A.... ) "C:\WINDOWS\system32\SIntfNT.dll"
2006-06-10 20:14:02 17212 ( A.... ) "C:\WINDOWS\system32\SIntf32.dll"
2006-06-10 20:14:02 12067 ( A.... ) "C:\WINDOWS\system32\SIntf16.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-05-18 13:32:40 598016 ( A.... ) "C:\WINDOWS\system32\CDDBControlRoxio.dll"
(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))
2006-08-13 16:31 9.810.415 C:\WINDOWS\system32\FreecellVista.exe
2006-08-13 16:31 9.786.433 C:\WINDOWS\system32\SpiderSolitaireVista.exe
2006-08-13 16:31 9.772.419 C:\WINDOWS\system32\SolitaireVista.exe
2006-08-13 16:31 9.693.257 C:\WINDOWS\system32\HeartsVista.exe
2006-08-13 16:31 7.466.008 C:\WINDOWS\system32\MinesweeperVista.exe
2006-08-13 16:31 61.967.370 C:\WINDOWS\system32\PurblePlaceVista.exe
2006-08-13 16:31 61.440 C:\WINDOWS\system32\Vista.Emulation.dll
2006-08-13 16:31 27.916.194 C:\WINDOWS\system32\ShanghaiVista.exe
2006-08-12 21:11 11.034.624 C:\WINDOWS\system32\Army
2006-08-12 20:02 36.864 C:\WINDOWS\system32\wbsys.dll
2006-08-02 20:44 230.096 C:\WINDOWS\system32\xactengine2_0.dll
2006-08-02 20:44 14.032 C:\WINDOWS\system32\x3daudio1_0.dll
2006-08-02 20:43 2.332.368 C:\WINDOWS\system32\d3dx9_29.dll
2006-08-02 20:43 2.323.664 C:\WINDOWS\system32\d3dx9_28.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active]
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce\not active]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"="C:\\Programme\\Valve\\Steam\\\\Steam.exe -silent"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,3a,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
"NapsterShell"="C:\\Programme\\Napster\\napster.exe /systray"
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
Ghp`amfUbrhLds REG_DWORD 0 (0x0)
DisableRegistryTools REG_DWORD 0 (0x0)
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 14.08.2006 15:11:05,68
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt
Running from: C:\Programme\Mozilla Firefox
QuickScan did not find any signs of infected files
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-08-13 21:28:16 ( .D... ) "C:\Programme\ewido anti-spyware 4.0"
2006-08-13 20:15:00 ( .D... ) "C:\Programme\HijackThis"
2006-08-13 00:00:30 ( .D... ) "C:\Programme\Ashampoo"
2006-08-12 20:04:32 ( .D... ) "C:\Programme\Stardock"
2006-08-12 20:02:40 ( .D... ) "C:\Programme\Gemeinsame Dateien\Stardock"
2006-08-12 20:02:40 ( .D... ) "C:\Programme\AlienGUIse"
2006-08-11 14:54:44 98304 ( A.... ) "C:\WINDOWS\system32\CmdLineExt.dll"
2006-08-11 14:37:20 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\InstallShield"
2006-08-08 10:26:50 ( .D... ) "C:\Programme\KONAMI"
2006-08-07 16:18:04 ( .D... ) "C:\Programme\Dungeon Siege II Tool Kit"
2006-08-03 19:25:26 ( .D... ) "C:\Programme\Microsoft Games"
2006-07-28 18:31:18 2560 ( A.... ) "C:\WINDOWS\_MSRSTRT.EXE"
2006-07-27 15:25:20 679424 ( A.... ) "C:\WINDOWS\system32\inetcomm.dll"
2006-07-22 20:00:04 34308 ( A.... ) "C:\WINDOWS\system32\BASSMOD.dll"
2006-07-22 19:36:10 ( .D... ) "C:\Programme\ISO Commander"
2006-07-21 10:29:00 72704 ( A.... ) "C:\WINDOWS\system32\hlink.dll"
2006-07-19 04:58:30 258048 ( A.... ) "C:\WINDOWS\system32\ati2dvag.dll"
2006-07-19 04:53:28 114688 ( A.... ) "C:\WINDOWS\system32\atipdlxx.dll"
2006-07-19 04:53:10 77824 ( A.... ) "C:\WINDOWS\system32\Oemdspif.dll"
2006-07-19 04:53:04 26112 ( A.... ) "C:\WINDOWS\system32\Ati2mdxx.exe"
2006-07-19 04:52:58 41984 ( A.... ) "C:\WINDOWS\system32\ati2edxx.dll"
2006-07-19 04:52:48 86016 ( A.... ) "C:\WINDOWS\system32\ati2evxx.dll"
2006-07-19 04:51:44 401408 ( A.... ) "C:\WINDOWS\system32\ati2evxx.exe"
2006-07-19 04:51:10 53248 ( A.... ) "C:\WINDOWS\system32\ATIDDC.DLL"
2006-07-19 04:44:36 2732608 ( A.... ) "C:\WINDOWS\system32\ati3duag.dll"
2006-07-19 04:39:08 1744416 ( A.... ) "C:\WINDOWS\system32\ativvaxx.dll"
2006-07-19 04:27:58 204800 ( A.... ) "C:\WINDOWS\system32\atikvmag.dll"
2006-07-19 04:26:50 17408 ( A.... ) "C:\WINDOWS\system32\atitvo32.dll"
2006-07-19 04:23:48 307200 ( A.... ) "C:\WINDOWS\system32\atiiiexx.dll"
2006-07-19 04:22:52 6684672 ( A.... ) "C:\WINDOWS\system32\atioglx1.dll"
2006-07-19 04:22:08 286720 ( A.... ) "C:\WINDOWS\system32\ati2cqag.dll"
2006-07-19 04:21:52 290816 ( A.... ) "C:\WINDOWS\system32\ATIDEMGR.dll"
2006-07-19 04:13:46 5136384 ( A.... ) "C:\WINDOWS\system32\atioglxx.dll"
2006-07-18 21:05:00 520192 ( ..... ) "C:\WINDOWS\system32\ati2sgag.exe"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-07-13 15:34:28 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll"
2006-07-12 22:20:22 ( .D... ) "C:\Programme\Gemeinsame Dateien\Napster Shared"
2006-07-05 12:55:22 1057792 ( A.... ) "C:\WINDOWS\system32\kernel32.dll"
2006-06-26 19:40:34 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-06-26 19:40:34 8192 ( A.... ) "C:\WINDOWS\system32\rasadhlp.dll"
2006-06-22 15:59:16 8766 ( A.... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\PhotoPro.state.xml"
2006-06-20 12:24:16 ( .D... ) "C:\Programme\SoundTaxi"
2006-06-19 22:58:50 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Roxio"
2006-06-19 22:31:44 ( .D... ) "C:\Programme\Napster"
2006-06-19 18:14:02 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-06-19 16:20:42 702768 ( A.... ) "C:\WINDOWS\system32\WgaLogon.dll"
2006-06-16 16:44:56 513536 ( A.... ) "C:\WINDOWS\system32\SndTDriverV32.sys"
2006-06-16 00:30:54 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\CyberLink"
2006-06-14 17:52:50 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Atari"
2006-06-14 17:49:50 ( .D... ) "C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Leadertech"
2006-06-10 20:14:02 21840 ( A.... ) "C:\WINDOWS\system32\SIntfNT.dll"
2006-06-10 20:14:02 17212 ( A.... ) "C:\WINDOWS\system32\SIntf32.dll"
2006-06-10 20:14:02 12067 ( A.... ) "C:\WINDOWS\system32\SIntf16.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2006-05-18 13:32:40 598016 ( A.... ) "C:\WINDOWS\system32\CDDBControlRoxio.dll"
(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))
2006-08-13 16:31 9.810.415 C:\WINDOWS\system32\FreecellVista.exe
2006-08-13 16:31 9.786.433 C:\WINDOWS\system32\SpiderSolitaireVista.exe
2006-08-13 16:31 9.772.419 C:\WINDOWS\system32\SolitaireVista.exe
2006-08-13 16:31 9.693.257 C:\WINDOWS\system32\HeartsVista.exe
2006-08-13 16:31 7.466.008 C:\WINDOWS\system32\MinesweeperVista.exe
2006-08-13 16:31 61.967.370 C:\WINDOWS\system32\PurblePlaceVista.exe
2006-08-13 16:31 61.440 C:\WINDOWS\system32\Vista.Emulation.dll
2006-08-13 16:31 27.916.194 C:\WINDOWS\system32\ShanghaiVista.exe
2006-08-12 21:11 11.034.624 C:\WINDOWS\system32\Army
2006-08-12 20:02 36.864 C:\WINDOWS\system32\wbsys.dll
2006-08-02 20:44 230.096 C:\WINDOWS\system32\xactengine2_0.dll
2006-08-02 20:44 14.032 C:\WINDOWS\system32\x3daudio1_0.dll
2006-08-02 20:43 2.332.368 C:\WINDOWS\system32\d3dx9_29.dll
2006-08-02 20:43 2.323.664 C:\WINDOWS\system32\d3dx9_28.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"!ewido"="\"C:\\Programme\\ewido anti-spyware 4.0\\ewido.exe\" /minimized"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\not active]
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoCDBurning"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce\not active]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Steam"="C:\\Programme\\Valve\\Steam\\\\Steam.exe -silent"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,3a,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"CDRAutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"Tweak UI"="RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp"
"NapsterShell"="C:\\Programme\\Napster\\napster.exe /systray"
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system
Ghp`amfUbrhLds REG_DWORD 0 (0x0)
DisableRegistryTools REG_DWORD 0 (0x0)
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 14.08.2006 15:11:05,68
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
von Nikita am 14.08.2006, 15:22
das sieht boese aus,,,,,,,,,,,,,,,,,,,,,,,,,, 
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html
2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
3.
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von RangerNed am 14.08.2006, 15:32
Clean Up hab ich durchgefürt!
Das von Datfind hab ich dir per PM zukommen lassen!
Hier ist das von Hijack This:
Logfile of HijackThis v1.99.1
Scan saved at 15:30:20, on 14.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://deesc.netfirms.com/mob/lan
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/rap ... loader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
Das von Datfind hab ich dir per PM zukommen lassen!
Hier ist das von Hijack This:
Logfile of HijackThis v1.99.1
Scan saved at 15:30:20, on 14.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/r ... key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://deesc.netfirms.com/mob/lan
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/rap ... loader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WB - C:\Programme\AlienGUIse\fastload.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
von Nikita am 14.08.2006, 15:33
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
http://virus-protect.org/datfindbat.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von RangerNed am 14.08.2006, 15:36
Verzeichnis von C:\WINDOWS\system32
14.08.2006 15:22 1.170 wpa.dbl
14.08.2006 15:20 29.208 BMXCtrlState-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 29.208 BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 17.012 BMXStateBkp-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 17.012 BMXState-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 1.080 settings.sfm
14.08.2006 15:20 1.080 settingsbkup.sfm
14.08.2006 15:20 24 DVCStateBkp-{00000000-00000000-0000000B-00001102-00000002-80641102}.dat
14.08.2006 15:20 24 DVCState-{00000000-00000000-0000000B-00001102-00000002-80641102}.dat
13.08.2006 16:34 403.968 perfh009.dat
13.08.2006 16:34 63.188 perfc009.dat
13.08.2006 16:34 76.014 perfc007.dat
13.08.2006 16:34 418.970 perfh007.dat
13.08.2006 16:34 972.318 PerfStringBackup.INI
11.08.2006 14:54 98.304 CmdLineExt.dll
09.08.2006 21:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
25.07.2006 20:28 257.456 FNTCACHE.DAT
22.07.2006 20:00 34.308 BASSMOD.dll
21.07.2006 10:29 72.704 hlink.dll
19.07.2006 04:58 258.048 ati2dvag.dll
19.07.2006 04:53 114.688 atipdlxx.dll
19.07.2006 04:53 77.824 Oemdspif.dll
19.07.2006 04:53 26.112 Ati2mdxx.exe
19.07.2006 04:52 41.984 ati2edxx.dll
19.07.2006 04:52 86.016 ati2evxx.dll
19.07.2006 04:51 401.408 ati2evxx.exe
19.07.2006 04:51 53.248 ATIDDC.DLL
19.07.2006 04:44 2.732.608 ati3duag.dll
19.07.2006 04:39 1.744.416 ativvaxx.dll
19.07.2006 04:27 204.800 atikvmag.dll
19.07.2006 04:26 17.408 atitvo32.dll
19.07.2006 04:23 307.200 atiiiexx.dll
19.07.2006 04:22 6.684.672 atioglx1.dll
19.07.2006 04:22 286.720 ati2cqag.dll
19.07.2006 04:21 290.816 ATIDEMGR.dll
19.07.2006 04:13 5.136.384 atioglxx.dll
18.07.2006 21:05 520.192 ati2sgag.exe
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 10:53 27.136 xpsp3res.dll
21.06.2006 17:01 129.084 atiicdxx.dat
20.06.2006 12:02 16.832 amcompat.tlb
20.06.2006 12:02 23.392 nscompat.tlb
19.06.2006 18:14 57.384 avsda.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 16:44 513.536 SndTDriverV32.sys
16.06.2006 16:44 3.992 SndTDriverV32.inf
14.06.2006 17:59 4.096 crash
10.06.2006 20:14 21.840 SIntfNT.dll
10.06.2006 20:14 17.212 SIntf32.dll
10.06.2006 20:14 12.067 SIntf16.dll
01.06.2006 20:47 163.840 jgdw400.dll
Verzeichnis von C:\DOKUME~1\RANGER~1\LOKALE~1\Temp
14.08.2006 15:24 16.384 Perflib_Perfdata_db0.dat
14.08.2006 15:24 16.384 Perflib_Perfdata_d84.dat
14.08.2006 15:23 16.384 Perflib_Perfdata_90c.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 19.860.152.320 Bytes frei
Verzeichnis von C:\WINDOWS
14.08.2006 15:22 0 0.log
14.08.2006 15:22 159 wiadebug.log
14.08.2006 15:22 1.663.621 WindowsUpdate.log
14.08.2006 15:22 50 wiaservc.log
14.08.2006 15:22 2.048 bootstat.dat
14.08.2006 15:20 32.430 SchedLgU.Txt
14.08.2006 15:11 1.260 setupact.log
14.08.2006 15:08 377.066 DirectX.log
13.08.2006 16:35 113.282 iis6.log
13.08.2006 16:35 154.910 ntdtcsetup.log
13.08.2006 16:35 245.482 comsetup.log
13.08.2006 16:35 40.364 ocmsn.log
13.08.2006 16:35 4.566 imsins.log
13.08.2006 16:35 298.207 tsoc.log
13.08.2006 16:35 38.574 msgsocm.log
13.08.2006 16:35 414.945 ocgen.log
13.08.2006 16:35 734.091 FaxSetup.log
13.08.2006 16:34 653.476 setupapi.log
12.08.2006 20:24 232.924 wmsetup.log
12.08.2006 20:11 3.050 CSO-DAX COMPILATOR Uninstall Log.txt
12.08.2006 20:03 100 wb.ini
12.08.2006 17:28 10 popcinfo.dat
12.08.2006 01:43 1.374 imsins.BAK
12.08.2006 01:43 16.634 KB920214.log
12.08.2006 01:43 16.628 KB922616.log
12.08.2006 01:42 17.241 KB921398.log
12.08.2006 01:42 35.327 updspapi.log
12.08.2006 01:42 31.526 KB918899.log
12.08.2006 01:41 12.493 KB920670.log
12.08.2006 01:41 12.656 KB917422.log
12.08.2006 01:41 13.567 KB920683.log
09.08.2006 14:56 13.055 KB921883.log
01.08.2006 12:28 1.070 ARPR.INI
28.07.2006 18:31 2.560 _MSRSTRT.EXE
25.07.2006 21:27 79.220 spupdsvc.log
25.07.2006 20:33 29.701 WgaNotify.log
24.07.2006 20:19 740 system.ini
24.07.2006 20:19 18 scanreg.ini
15.07.2006 12:37 50 GunzLauncher.INI
14.07.2006 15:06 10.661 CSO-DAX COMPILATOR Setup Log.txt
12.07.2006 01:36 13.873 KB917159.log
12.07.2006 01:36 15.633 KB914388.log
12.07.2006 01:36 12.545 KB916595.log
08.07.2006 15:17 287 Q312370.log
20.06.2006 13:50 3.377.112 {00000000-00000000-0000000B-00001102-00000002-80641102}.CDF
19.06.2006 23:27 561 wmsetup10.log
19.06.2006 23:26 35.209 wmp11.log
19.06.2006 23:25 20.652 Wudf01000Inst.log
Verzeichnis von C:\
14.08.2006 15:36 0 sys.txt
14.08.2006 15:36 14.977 system.txt
14.08.2006 15:35 422 systemtemp.txt
14.08.2006 15:35 115.683 system32.txt
14.08.2006 15:21 1.073.270.784 hiberfil.sys
14.08.2006 15:21 1.608.515.584 pagefile.sys
14.08.2006 15:11 10.652 ComboFix.txt
13.08.2004 13:54 293 BOOT.INI
13.08.2004 13:48 47.564 NTDETECT.COM
13.08.2004 13:48 251.184 ntldr
31.07.2004 12:18 0 MSDOS.SYS
31.07.2004 12:18 0 IO.SYS
31.07.2004 12:06 276 BOOT.BKK
23.07.2004 09:52 193 BOOT.BAK
02.04.2003 13:00 4.952 bootfont.bin
02.04.2003 13:00 248.096 cmldr
16 Datei(en) 2.682.480.660 Bytes
0 Verzeichnis(se), 19.860.152.320 Bytes frei
14.08.2006 15:22 1.170 wpa.dbl
14.08.2006 15:20 29.208 BMXCtrlState-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 29.208 BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 17.012 BMXStateBkp-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 17.012 BMXState-{00000000-00000000-0000000B-00001102-00000002-80641102}.rfx
14.08.2006 15:20 1.080 settings.sfm
14.08.2006 15:20 1.080 settingsbkup.sfm
14.08.2006 15:20 24 DVCStateBkp-{00000000-00000000-0000000B-00001102-00000002-80641102}.dat
14.08.2006 15:20 24 DVCState-{00000000-00000000-0000000B-00001102-00000002-80641102}.dat
13.08.2006 16:34 403.968 perfh009.dat
13.08.2006 16:34 63.188 perfc009.dat
13.08.2006 16:34 76.014 perfc007.dat
13.08.2006 16:34 418.970 perfh007.dat
13.08.2006 16:34 972.318 PerfStringBackup.INI
11.08.2006 14:54 98.304 CmdLineExt.dll
09.08.2006 21:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
25.07.2006 20:28 257.456 FNTCACHE.DAT
22.07.2006 20:00 34.308 BASSMOD.dll
21.07.2006 10:29 72.704 hlink.dll
19.07.2006 04:58 258.048 ati2dvag.dll
19.07.2006 04:53 114.688 atipdlxx.dll
19.07.2006 04:53 77.824 Oemdspif.dll
19.07.2006 04:53 26.112 Ati2mdxx.exe
19.07.2006 04:52 41.984 ati2edxx.dll
19.07.2006 04:52 86.016 ati2evxx.dll
19.07.2006 04:51 401.408 ati2evxx.exe
19.07.2006 04:51 53.248 ATIDDC.DLL
19.07.2006 04:44 2.732.608 ati3duag.dll
19.07.2006 04:39 1.744.416 ativvaxx.dll
19.07.2006 04:27 204.800 atikvmag.dll
19.07.2006 04:26 17.408 atitvo32.dll
19.07.2006 04:23 307.200 atiiiexx.dll
19.07.2006 04:22 6.684.672 atioglx1.dll
19.07.2006 04:22 286.720 ati2cqag.dll
19.07.2006 04:21 290.816 ATIDEMGR.dll
19.07.2006 04:13 5.136.384 atioglxx.dll
18.07.2006 21:05 520.192 ati2sgag.exe
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 10:53 27.136 xpsp3res.dll
21.06.2006 17:01 129.084 atiicdxx.dat
20.06.2006 12:02 16.832 amcompat.tlb
20.06.2006 12:02 23.392 nscompat.tlb
19.06.2006 18:14 57.384 avsda.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
16.06.2006 16:44 513.536 SndTDriverV32.sys
16.06.2006 16:44 3.992 SndTDriverV32.inf
14.06.2006 17:59 4.096 crash
10.06.2006 20:14 21.840 SIntfNT.dll
10.06.2006 20:14 17.212 SIntf32.dll
10.06.2006 20:14 12.067 SIntf16.dll
01.06.2006 20:47 163.840 jgdw400.dll
Verzeichnis von C:\DOKUME~1\RANGER~1\LOKALE~1\Temp
14.08.2006 15:24 16.384 Perflib_Perfdata_db0.dat
14.08.2006 15:24 16.384 Perflib_Perfdata_d84.dat
14.08.2006 15:23 16.384 Perflib_Perfdata_90c.dat
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 19.860.152.320 Bytes frei
Verzeichnis von C:\WINDOWS
14.08.2006 15:22 0 0.log
14.08.2006 15:22 159 wiadebug.log
14.08.2006 15:22 1.663.621 WindowsUpdate.log
14.08.2006 15:22 50 wiaservc.log
14.08.2006 15:22 2.048 bootstat.dat
14.08.2006 15:20 32.430 SchedLgU.Txt
14.08.2006 15:11 1.260 setupact.log
14.08.2006 15:08 377.066 DirectX.log
13.08.2006 16:35 113.282 iis6.log
13.08.2006 16:35 154.910 ntdtcsetup.log
13.08.2006 16:35 245.482 comsetup.log
13.08.2006 16:35 40.364 ocmsn.log
13.08.2006 16:35 4.566 imsins.log
13.08.2006 16:35 298.207 tsoc.log
13.08.2006 16:35 38.574 msgsocm.log
13.08.2006 16:35 414.945 ocgen.log
13.08.2006 16:35 734.091 FaxSetup.log
13.08.2006 16:34 653.476 setupapi.log
12.08.2006 20:24 232.924 wmsetup.log
12.08.2006 20:11 3.050 CSO-DAX COMPILATOR Uninstall Log.txt
12.08.2006 20:03 100 wb.ini
12.08.2006 17:28 10 popcinfo.dat
12.08.2006 01:43 1.374 imsins.BAK
12.08.2006 01:43 16.634 KB920214.log
12.08.2006 01:43 16.628 KB922616.log
12.08.2006 01:42 17.241 KB921398.log
12.08.2006 01:42 35.327 updspapi.log
12.08.2006 01:42 31.526 KB918899.log
12.08.2006 01:41 12.493 KB920670.log
12.08.2006 01:41 12.656 KB917422.log
12.08.2006 01:41 13.567 KB920683.log
09.08.2006 14:56 13.055 KB921883.log
01.08.2006 12:28 1.070 ARPR.INI
28.07.2006 18:31 2.560 _MSRSTRT.EXE
25.07.2006 21:27 79.220 spupdsvc.log
25.07.2006 20:33 29.701 WgaNotify.log
24.07.2006 20:19 740 system.ini
24.07.2006 20:19 18 scanreg.ini
15.07.2006 12:37 50 GunzLauncher.INI
14.07.2006 15:06 10.661 CSO-DAX COMPILATOR Setup Log.txt
12.07.2006 01:36 13.873 KB917159.log
12.07.2006 01:36 15.633 KB914388.log
12.07.2006 01:36 12.545 KB916595.log
08.07.2006 15:17 287 Q312370.log
20.06.2006 13:50 3.377.112 {00000000-00000000-0000000B-00001102-00000002-80641102}.CDF
19.06.2006 23:27 561 wmsetup10.log
19.06.2006 23:26 35.209 wmp11.log
19.06.2006 23:25 20.652 Wudf01000Inst.log
Verzeichnis von C:\
14.08.2006 15:36 0 sys.txt
14.08.2006 15:36 14.977 system.txt
14.08.2006 15:35 422 systemtemp.txt
14.08.2006 15:35 115.683 system32.txt
14.08.2006 15:21 1.073.270.784 hiberfil.sys
14.08.2006 15:21 1.608.515.584 pagefile.sys
14.08.2006 15:11 10.652 ComboFix.txt
13.08.2004 13:54 293 BOOT.INI
13.08.2004 13:48 47.564 NTDETECT.COM
13.08.2004 13:48 251.184 ntldr
31.07.2004 12:18 0 MSDOS.SYS
31.07.2004 12:18 0 IO.SYS
31.07.2004 12:06 276 BOOT.BKK
23.07.2004 09:52 193 BOOT.BAK
02.04.2003 13:00 4.952 bootfont.bin
02.04.2003 13:00 248.096 cmldr
16 Datei(en) 2.682.480.660 Bytes
0 Verzeichnis(se), 19.860.152.320 Bytes frei
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
von Nikita am 15.08.2006, 15:44
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
poste das log vom avenger, was erscheint
**
arbeite das ab und poste den report
http://virus-protect.org/artikel/tools/fprot.html
**
http://virus-protect.org/onlinescan.html
scanne Online mit kaspersky und poste den report
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:
registry keys to delete:
HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows Update
HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows OEM Tools
HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows Update
HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows OEM Tools
Files to delete:
C:\WINDOWS\System32\wamgrd.exe
C:\WINDOWS\System32\winres32.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
**
poste das log vom avenger, was erscheint
**
arbeite das ab und poste den report
http://virus-protect.org/artikel/tools/fprot.html
**
http://virus-protect.org/onlinescan.html
scanne Online mit kaspersky und poste den report
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von RangerNed am 15.08.2006, 17:48
Hmm der F-Prot Dos Scanner geht bei mir nicht, da ich kein Floppy hab... und wen ich ne Verknüpfung mach mit \NOFLOPPY dan funktioniert die Verknüpfung nicht!
Aber hier ist schonam die Avenger Log:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\idcnx^bj
*******************
Script file located at: \??\C:\Program Files\wdrfkdxk.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\System32\wamgrd.exe not found!
Deletion of file C:\WINDOWS\System32\wamgrd.exe failed!
Could not process line:
C:\WINDOWS\System32\wamgrd.exe
Status: 0xc0000034
File C:\WINDOWS\System32\winres32.exe not found!
Deletion of file C:\WINDOWS\System32\winres32.exe failed!
Could not process line:
C:\WINDOWS\System32\winres32.exe
Status: 0xc0000034
Registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows Update not found!
Deletion of registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows Update failed!
Status: 0xc0000034
Registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows OEM Tools not found!
Deletion of registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows OEM Tools failed!
Status: 0xc0000034
Registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows Update not found!
Deletion of registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows Update failed!
Status: 0xc0000034
Registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows OEM Tools not found!
Deletion of registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows OEM Tools failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Kaspersky macht noch ....
Aber hier ist schonam die Avenger Log:
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\idcnx^bj
*******************
Script file located at: \??\C:\Program Files\wdrfkdxk.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\System32\wamgrd.exe not found!
Deletion of file C:\WINDOWS\System32\wamgrd.exe failed!
Could not process line:
C:\WINDOWS\System32\wamgrd.exe
Status: 0xc0000034
File C:\WINDOWS\System32\winres32.exe not found!
Deletion of file C:\WINDOWS\System32\winres32.exe failed!
Could not process line:
C:\WINDOWS\System32\winres32.exe
Status: 0xc0000034
Registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows Update not found!
Deletion of registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows Update failed!
Status: 0xc0000034
Registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows OEM Tools not found!
Deletion of registry key HKEY_USERS\.default\software\microsoft\windows\currentversion\run\Windows OEM Tools failed!
Status: 0xc0000034
Registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows Update not found!
Deletion of registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows Update failed!
Status: 0xc0000034
Registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows OEM Tools not found!
Deletion of registry key HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run\Windows OEM Tools failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Kaspersky macht noch ....
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
von RangerNed am 15.08.2006, 19:18
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 15. August 2006 19:16:59
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 15/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 202591
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 100673
Viren gefunden 2
Infizierte Objekte gefunden 2 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:39:02
Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\CLI.EXE.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Temp\Perflib_Perfdata_440.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Temp\Perflib_Perfdata_ba0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP821\A0240967.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.yb übersprungen
C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP826\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\msn.hta Infizierte Objekte: Trojan-Downloader.VBS.Psyme.av übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{A994FE3D-0878-4603-B11B-237713395945}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd0141.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
Dienstag, 15. August 2006 19:16:59
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 15/08/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 202591
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Arbeitsplatz
C:\
D:\
E:\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 100673
Viren gefunden 2
Infizierte Objekte gefunden 2 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 01:39:02
Name des infizierten Objekts Virusname Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory\CLI.EXE.da01c7d0.ini.inuse Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fl1oawtx.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Temp\Perflib_Perfdata_440.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Temp\Perflib_Perfdata_ba0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\RangerNed4x\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP821\A0240967.exe Infizierte Objekte: Trojan-Dropper.Win32.Delf.yb übersprungen
C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP826\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\msn.hta Infizierte Objekte: Trojan-Downloader.VBS.Psyme.av übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{A994FE3D-0878-4603-B11B-237713395945}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\dtscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd0141.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
von Nikita am 17.08.2006, 23:24
0.
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\system32\SndTDriverV32.sys
poste den report
---------------------------------------------------------------------
1.
Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - wamgrd.exe + winres32.exe
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
loesche diese Eintraege:
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
loesche diese Eintraege:
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
2..
Avenger
3.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
4.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ ... Filter.zip
- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html
C:\WINDOWS\system32\SndTDriverV32.sys
poste den report
---------------------------------------------------------------------
1.
Gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - wamgrd.exe + winres32.exe
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
loesche diese Eintraege:
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
loesche diese Eintraege:
"Windows Update"="wamgrd.exe"
"Windows OEM Tools"="winres32.exe"
2..
Avenger
Files to delete:
C:\WINDOWS\_MSRSTRT.EXE
C:\WINDOWS\msn.hta
C:\WINDOWS\system32\FreecellVista.exe
C:\WINDOWS\system32\SpiderSolitaireVista.exe
C:\WINDOWS\system32\SolitaireVista.exe
C:\WINDOWS\system32\HeartsVista.exe
C:\WINDOWS\system32\MinesweeperVista.exe
C:\WINDOWS\system32\PurblePlaceVista.exe
C:\WINDOWS\system32\Vista.Emulation.dll
C:\WINDOWS\system32\ShanghaiVista.exe
C:\WINDOWS\system32\Army
3.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
4.
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ ... Filter.zip
- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von RangerNed am 18.08.2006, 03:44
Also hier ist alles:
Complete scanning result of "SndTDriverV32.sys", received in VirusTotal at 08.18.2006, 01:42:39 (CET).
Antivirus Version Update Result
AntiVir 6.35.1.0 08.17.2006 no virus found
Authentium 4.93.8 08.17.2006 no virus found
Avast 4.7.844.0 08.17.2006 no virus found
AVG 386 08.17.2006 no virus found
BitDefender 7.2 08.18.2006 no virus found
CAT-QuickHeal 8.00 08.17.2006 no virus found
ClamAV devel-20060426 08.18.2006 no virus found
DrWeb 4.33 08.17.2006 no virus found
eTrust-InoculateIT 23.72.100 08.17.2006 no virus found
eTrust-Vet 30.3.3024 08.17.2006 no virus found
Ewido 4.0 08.17.2006 no virus found
Fortinet 2.77.0.0 08.18.2006 no virus found
F-Prot 3.16f 08.17.2006 no virus found
F-Prot4 4.2.1.29 08.17.2006 no virus found
Ikarus 0.2.65.0 08.17.2006 no virus found
Kaspersky 4.0.2.24 08.18.2006 no virus found
McAfee 4831 08.17.2006 no virus found
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1713 08.17.2006 no virus found
Norman 5.90.23 08.17.2006 no virus found
Panda 9.0.0.4 08.17.2006 no virus found
Sophos 4.08.0 08.17.2006 no virus found
Symantec 8.0 08.18.2006 no virus found
TheHacker 5.9.8.193 08.16.2006 no virus found
UNA 1.83 08.17.2006 no virus found
VBA32 3.11.0 08.17.2006 no virus found
VirusBuster 4.3.7:9 08.17.2006 no virus found
Aditional Information
File size: 513536 bytes
MD5: f47971effae8af8e99e11a08400c03ed
SHA1: 91118d6bce53c1b4b1fa174aaa58271d485b3659
packers: embedded
Avenger:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Error: could not create zip file.
Error code: 0
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yfgcndbq
*******************
Script file located at: \??\C:\WINDOWS\system32\fbhpldgd.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\_MSRSTRT.EXE deleted successfully.
File C:\WINDOWS\msn.hta deleted successfully.
File C:\WINDOWS\system32\FreecellVista.exe deleted successfully.
File C:\WINDOWS\system32\SpiderSolitaireVista.exe deleted successfully.
File C:\WINDOWS\system32\SolitaireVista.exe deleted successfully.
File C:\WINDOWS\system32\HeartsVista.exe deleted successfully.
File C:\WINDOWS\system32\MinesweeperVista.exe deleted successfully.
File C:\WINDOWS\system32\PurblePlaceVista.exe deleted successfully.
File C:\WINDOWS\system32\Vista.Emulation.dll deleted successfully.
File C:\WINDOWS\system32\ShanghaiVista.exe deleted successfully.
File C:\WINDOWS\system32\Army not found!
Deletion of file C:\WINDOWS\system32\Army failed!
Could not process line:
C:\WINDOWS\system32\Army
Status: 0xc0000034
Completed script processing.
*******************
The script did not recognize the services listed below.
This does not mean that they are a problem.
To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"
########################################
ServiceFilter 1.1
by rand1038
Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Aug 18, 2006 03:42:17
Unknown Service # 11
Service Name: wamgrd
Display Name: Windows Update Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 3
Accept Pause: Falsch
Accept Stop: Falsch
Unknown Service # 12
Service Name: WMPNetworkSvc
Display Name: Windows Media Player-Netzwerkfreigabedienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Gibt Windows Media Player-Bibliotheken mithilfe des universellen Plug & Play für andere Players ...
Service Type: Own Process
Path: c:\programme\windows media player\wmpnetwk.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch
Unknown Service # 13
Service Name: WudfSvc
Display Name: Windows Driver Foundation - User-mode Driver Framework
Start Mode: Manual
Start Name: LocalSystem
Description: Manages user-mode driver host ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k wudfservicegroup
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch
---> End Service Listing <---
There are 91 Win32 services on this machine.
13 were unrecognized.
Script Execution Time: 0,7177734 seconds.
THX
Complete scanning result of "SndTDriverV32.sys", received in VirusTotal at 08.18.2006, 01:42:39 (CET).
Antivirus Version Update Result
AntiVir 6.35.1.0 08.17.2006 no virus found
Authentium 4.93.8 08.17.2006 no virus found
Avast 4.7.844.0 08.17.2006 no virus found
AVG 386 08.17.2006 no virus found
BitDefender 7.2 08.18.2006 no virus found
CAT-QuickHeal 8.00 08.17.2006 no virus found
ClamAV devel-20060426 08.18.2006 no virus found
DrWeb 4.33 08.17.2006 no virus found
eTrust-InoculateIT 23.72.100 08.17.2006 no virus found
eTrust-Vet 30.3.3024 08.17.2006 no virus found
Ewido 4.0 08.17.2006 no virus found
Fortinet 2.77.0.0 08.18.2006 no virus found
F-Prot 3.16f 08.17.2006 no virus found
F-Prot4 4.2.1.29 08.17.2006 no virus found
Ikarus 0.2.65.0 08.17.2006 no virus found
Kaspersky 4.0.2.24 08.18.2006 no virus found
McAfee 4831 08.17.2006 no virus found
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1713 08.17.2006 no virus found
Norman 5.90.23 08.17.2006 no virus found
Panda 9.0.0.4 08.17.2006 no virus found
Sophos 4.08.0 08.17.2006 no virus found
Symantec 8.0 08.18.2006 no virus found
TheHacker 5.9.8.193 08.16.2006 no virus found
UNA 1.83 08.17.2006 no virus found
VBA32 3.11.0 08.17.2006 no virus found
VirusBuster 4.3.7:9 08.17.2006 no virus found
Aditional Information
File size: 513536 bytes
MD5: f47971effae8af8e99e11a08400c03ed
SHA1: 91118d6bce53c1b4b1fa174aaa58271d485b3659
packers: embedded
Avenger:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Error: could not create zip file.
Error code: 0
//////////////////////////////////////////
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yfgcndbq
*******************
Script file located at: \??\C:\WINDOWS\system32\fbhpldgd.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\_MSRSTRT.EXE deleted successfully.
File C:\WINDOWS\msn.hta deleted successfully.
File C:\WINDOWS\system32\FreecellVista.exe deleted successfully.
File C:\WINDOWS\system32\SpiderSolitaireVista.exe deleted successfully.
File C:\WINDOWS\system32\SolitaireVista.exe deleted successfully.
File C:\WINDOWS\system32\HeartsVista.exe deleted successfully.
File C:\WINDOWS\system32\MinesweeperVista.exe deleted successfully.
File C:\WINDOWS\system32\PurblePlaceVista.exe deleted successfully.
File C:\WINDOWS\system32\Vista.Emulation.dll deleted successfully.
File C:\WINDOWS\system32\ShanghaiVista.exe deleted successfully.
File C:\WINDOWS\system32\Army not found!
Deletion of file C:\WINDOWS\system32\Army failed!
Could not process line:
C:\WINDOWS\system32\Army
Status: 0xc0000034
Completed script processing.
*******************
The script did not recognize the services listed below.
This does not mean that they are a problem.
To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"
########################################
ServiceFilter 1.1
by rand1038
Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Aug 18, 2006 03:42:17
Unknown Service # 11
Service Name: wamgrd
Display Name: Windows Update Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 3
Accept Pause: Falsch
Accept Stop: Falsch
Unknown Service # 12
Service Name: WMPNetworkSvc
Display Name: Windows Media Player-Netzwerkfreigabedienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Gibt Windows Media Player-Bibliotheken mithilfe des universellen Plug & Play für andere Players ...
Service Type: Own Process
Path: c:\programme\windows media player\wmpnetwk.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch
Unknown Service # 13
Service Name: WudfSvc
Display Name: Windows Driver Foundation - User-mode Driver Framework
Start Mode: Manual
Start Name: LocalSystem
Description: Manages user-mode driver host ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k wudfservicegroup
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch
---> End Service Listing <---
There are 91 Win32 services on this machine.
13 were unrecognized.
Script Execution Time: 0,7177734 seconds.
THX
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
von Nikita am 18.08.2006, 14:21
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
wamgrd
Windows Update Service
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)
wamgrd
Windows Update Service
in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von RangerNed am 18.08.2006, 14:25
REGEDIT4
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0
; Results at 18.08.2006 14:24:22 for strings:
; 'wamgrd'
; 'windows update service '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD\0000]
"Service"="wamgrd"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd\Enum]
"0"="Root\\LEGACY_WAMGRD\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD\0000]
"Service"="wamgrd"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wamgrd]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wamgrd\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD\0000]
"Service"="wamgrd"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd\Enum]
"0"="Root\\LEGACY_WAMGRD\\0000"
; End Of The Log...
; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0
; Results at 18.08.2006 14:24:22 for strings:
; 'wamgrd'
; 'windows update service '
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD\0000]
"Service"="wamgrd"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd\Enum]
"0"="Root\\LEGACY_WAMGRD\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD\0000]
"Service"="wamgrd"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wamgrd]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wamgrd\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD\0000]
"Service"="wamgrd"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd\Enum]
"0"="Root\\LEGACY_WAMGRD\\0000"
; End Of The Log...
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
von Nikita am 18.08.2006, 14:30
Avenger
poste den report
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wamgrd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd
poste den report
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von RangerNed am 18.08.2006, 17:16
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ynnqanhy
*******************
Script file located at: \??\C:\WINDOWS\system32\fajubrve.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wamgrd deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ynnqanhy
*******************
Script file located at: \??\C:\WINDOWS\system32\fajubrve.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WAMGRD deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wamgrd deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WAMGRD deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wamgrd deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WAMGRD
Status: 0xc0000034
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd failed!
Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wamgrd
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
- RangerNed
- Beiträge: 10
- Registriert: 13.08.2006, 18:53
16 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Seht euch bitte mal meine HD-Benchmarks an! Forum: Hardware-Hilfe Autor: kubus1 Antworten: 11 |
bitte helft mir das meine seite schöner wird Forum: Webmaster-Anfänger Autor: EJW Antworten: 8 |
Ich stelle euch meine HP vor! Forum: Webmaster-Anfänger Autor: powergold Antworten: 6 |
Meine Logfile, könnt ihr euch die mal ansehen? Forum: Online- und PC-Sicherheit Autor: I_Robot Antworten: 1 |
Bitte schaut euch dies an Forum: Online- und PC-Sicherheit Autor: Kingofbug Antworten: 5 |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste