20 tage abgezocken die erste...

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 70C4-923A

Verzeichnis von C:\WINDOWS\system32

24.08.2005 09:51 11.751 lckfldservicelog.txt
22.08.2005 17:31 13.750 wpa.dbl
22.08.2005 00:12 88 mslck.dat
22.08.2005 00:01 183.808 lame_enc.dll
19.08.2005 00:00 188.416 vorbis.dll
19.08.2005 00:00 921.600 vorbisenc.dll
19.08.2005 00:00 503.808 hdx4_dshow.dll
19.08.2005 00:00 225.280 HDX4mp4Source.ax
19.08.2005 00:00 237.568 OggDS.dll
19.08.2005 00:00 45.056 ogg.dll
19.08.2005 00:00 151.552 HDX4AACDecoder.ax
19.08.2005 00:00 147.456 HDX4AMRDecoder.ax
12.08.2005 12:53 193.776 FNTCACHE.DAT
10.08.2005 22:45 311.740 perfh009.dat
10.08.2005 22:45 40.128 perfc009.dat
10.08.2005 22:45 316.924 perfh007.dat
10.08.2005 22:45 48.354 perfc007.dat
10.08.2005 22:45 723.744 PerfStringBackup.INI
10.08.2005 15:32 3.725 nvapps.xml
05.08.2005 03:31 1.457.496 MRT.exe

die zweite...

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 70C4-923A

Verzeichnis von C:\DOKUME~1\MR-ENE~1.MAS\LOKALE~1\Temp

24.08.2005 10:11 388 sOutTmp10115.tmp
24.08.2005 10:08 389 sOutTmp10559.tmp
24.08.2005 09:56 26.041.356 clipboardcache
24.08.2005 09:52 16.384 ~DFE8FB.tmp
24.08.2005 09:52 512 ~DFAC2F.tmp
24.08.2005 09:52 16.384 ~DFABB3.tmp
24.08.2005 09:51 224 WCESCOMM.LOG
24.08.2005 00:05 56.991 removefiles.txttemp
24.08.2005 00:05 16 persistent_state
23.08.2005 23:48 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}1753.html
23.08.2005 23:19 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}29567.html
23.08.2005 23:03 16.384 ~DFBB18.tmp
23.08.2005 23:03 16.384 ~DF9AA2.tmp
23.08.2005 15:02 2.048 Italian.Age
23.08.2005 15:02 2.048 mwav.ini
23.08.2005 15:02 1.976 MWAV.LOG
23.08.2005 15:01 796 mwXface.log
23.08.2005 14:16 16.384 ~DF7434.tmp
23.08.2005 14:16 16.384 ~DF6CC4.tmp
23.08.2005 13:55 9.259 WcesView.log
23.08.2005 12:47 16.384 ~DF7B3C.tmp
23.08.2005 11:18 54.313 06-08-05_1500.jpg
22.08.2005 22:53 0 TMP48.tmp
22.08.2005 22:49 0 TMP42.tmp
22.08.2005 22:48 0 TMP41.tmp
22.08.2005 22:46 101 bat3E.bat
22.08.2005 22:46 98 bat3D.bat
22.08.2005 22:46 99 bat3C.bat
22.08.2005 17:32 16.384 ~DF386.tmp
22.08.2005 17:32 16.384 ~DFE947.tmp
22.08.2005 11:20 18.714 daily.avc
22.08.2005 11:20 10.608 daily-ex.avc
22.08.2005 11:20 11.402 avp.klb
22.08.2005 04:43 134.804 spydb.avs
21.08.2005 23:58 48.128 23b5703.mst
21.08.2005 23:23 400 agk.tbl
21.08.2005 22:53 0 aaxF9D.tmp
21.08.2005 22:53 0 aaxF9C.tmp
21.08.2005 22:53 0 aaxF9B.tmp
21.08.2005 22:40 1.496 wzsF98.tmp
21.08.2005 20:04 286.720 esupdate.exe
21.08.2005 19:27 253.504 mwavscan.com
21.08.2005 14:10 16.384 ~DF55C9.tmp
21.08.2005 14:10 16.384 ~DF4DB1.tmp
20.08.2005 18:18 9.704 config.lan
20.08.2005 18:18 9.704 English.con
20.08.2005 18:07 43.950 French.Age
20.08.2005 15:47 6.626 Bild_00023.jpg
20.08.2005 14:48 20.439 fa.avc
20.08.2005 14:48 48.747 troj030.avc
20.08.2005 14:48 41.459 troj028.avc
20.08.2005 14:48 49.303 troj032.avc
20.08.2005 14:48 49.789 troj033.avc
20.08.2005 14:48 51.475 troj025.avc
20.08.2005 14:48 29.370 gen004.avc
20.08.2005 14:48 70.407 ca.avc
20.08.2005 14:48 32.577 virus020.avc
20.08.2005 14:48 9.078 ext005.avc
20.08.2005 14:48 50.509 troj029.avc
20.08.2005 14:48 32.564 malw004.avc
20.08.2005 14:48 37.993 gen999.avc
20.08.2005 14:48 18.381 worm006.avc
20.08.2005 14:48 59.950 malw001.avc
20.08.2005 14:48 43.209 unp024.avc
20.08.2005 14:48 50.866 unp025.avc
20.08.2005 14:48 30.649 unp026.avc
20.08.2005 10:11 16.384 ~DFCD7A.tmp
20.08.2005 10:11 16.384 ~DFADB6.tmp
19.08.2005 13:22 16.384 ~DF8D9C.tmp
19.08.2005 13:22 16.384 ~DF6E9E.tmp
18.08.2005 22:45 16.384 ~DF9735.tmp
18.08.2005 22:45 16.384 ~DF910C.tmp
18.08.2005 21:17 717 control.xml
18.08.2005 20:31 61.440 209eefb.mst
18.08.2005 18:57 39.591 a T�pc�.AMR
18.08.2005 18:56 48.006 T�rken schwein.amr
18.08.2005 18:56 29.392 Helga.amr
18.08.2005 18:56 83.078 Hans.amr
18.08.2005 17:45 67.241 unp004.avc
18.08.2005 17:45 71.736 unp002.avc
18.08.2005 17:07 41.954 Finnish.Age
18.08.2005 17:07 44.445 Polish.Age
18.08.2005 17:07 45.507 Spanish.Age
18.08.2005 17:07 41.103 Romanian.Age
18.08.2005 17:07 44.677 Portuguese.Age
18.08.2005 17:07 54.505 German.Age
18.08.2005 16:03 114.688 msvlclnt.dll
18.08.2005 16:01 38.976 Getvlist.exe
18.08.2005 12:32 283 wahtmltmp00.htm
18.08.2005 12:01 243 _isdelet.ini
18.08.2005 11:29 16.384 ~DFF281.tmp
17.08.2005 16:36 50.230 troj021.avc
17.08.2005 16:36 56.354 troj024.avc
17.08.2005 16:36 49.623 troj012.avc
17.08.2005 16:36 54.719 malw002.avc
16.08.2005 15:33 74.128 virus007.avc
16.08.2005 15:33 56.902 unp001.avc
16.08.2005 15:33 51.801 troj011.avc
16.08.2005 15:33 34.766 gen001.avc
16.08.2005 15:33 56.352 virus019.avc
16.08.2005 15:33 51.387 troj006.avc
16.08.2005 15:33 50.678 troj007.avc
16.08.2005 15:24 58.536 bitmap1.bmp
16.08.2005 15:24 58.536 about.bmp
16.08.2005 13:40 69.632 ~C4.tmp
16.08.2005 13:35 69.632 ~C0.tmp
16.08.2005 13:34 69.632 ~BE.tmp
16.08.2005 13:29 69.632 ~BC.tmp
16.08.2005 12:45 69.632 ~B9.tmp
16.08.2005 12:10 16.384 ~DF64AD.tmp
16.08.2005 12:10 16.384 ~DF517F.tmp
15.08.2005 21:15 16.384 ~DFB9D2.tmp
15.08.2005 21:15 16.384 ~DFB336.tmp
15.08.2005 17:11 16.384 ~DFEDE.tmp
15.08.2005 17:11 16.384 ~DF838.tmp
15.08.2005 05:21 215 1F1205F7.TMP
14.08.2005 20:53 69.632 ~D2.tmp
14.08.2005 20:08 16.384 ~DFD86F.tmp
14.08.2005 20:08 16.384 ~DFD1FD.tmp
14.08.2005 19:40 69.632 ~BA.tmp
14.08.2005 19:32 69.632 ~B5.tmp
14.08.2005 19:31 69.632 ~B3.tmp
14.08.2005 19:25 69.632 ~1C7.tmp
14.08.2005 19:24 69.632 ~1C5.tmp
14.08.2005 19:24 69.632 ~1A7.tmp
14.08.2005 19:23 69.632 ~1A0.tmp
14.08.2005 19:21 69.632 ~192.tmp
14.08.2005 19:17 69.632 ~179.tmp
14.08.2005 18:24 69.632 ~165.tmp
14.08.2005 18:22 69.632 ~163.tmp
14.08.2005 18:21 69.632 ~161.tmp
14.08.2005 18:20 69.632 ~15F.tmp
14.08.2005 18:19 69.632 ~15D.tmp
14.08.2005 15:55 0 bqjB4.tmp
14.08.2005 15:36 0 i36AF.tmp
14.08.2005 15:27 69.632 ~AD.tmp
14.08.2005 15:21 0 avn23.tmp
14.08.2005 15:04 0 ko022.tmp
14.08.2005 15:03 0 1jd21.tmp
14.08.2005 15:02 0 hex20.tmp
14.08.2005 15:01 0 9y41F.tmp
14.08.2005 12:58 16.384 ~DF9AEC.tmp
14.08.2005 12:58 16.384 ~DF9404.tmp
14.08.2005 10:04 16.384 ~DFED04.tmp
14.08.2005 10:04 16.384 ~DFE330.tmp
13.08.2005 23:19 21.840 ICQ105.tmp
13.08.2005 23:19 6.361 ICQ104.tmp
13.08.2005 19:43 50.873 troj009.avc
13.08.2005 19:43 56.664 troj022.avc
13.08.2005 19:43 8.008 unp000.avc
12.08.2005 19:01 48.861 gen002.avc
12.08.2005 19:01 51.739 worm003.avc
12.08.2005 19:01 52.056 unp009.avc
12.08.2005 19:01 41.148 gen003.avc
12.08.2005 19:01 61.156 unp014.avc
12.08.2005 19:01 85.787 unp023.avc
12.08.2005 19:01 50.223 troj010.avc
12.08.2005 19:01 80.280 unp019.avc
12.08.2005 17:14 2.474 Nadja.jpg
12.08.2005 17:14 2.490 Babysitten Beata susanne.jpg
12.08.2005 17:14 2.699 Julien.jpg
12.08.2005 17:14 3.347 Steffie.jpg
12.08.2005 17:14 3.131 Eigene nummer.01.jpg
12.08.2005 17:14 3.043 Daria.jpg
12.08.2005 17:13 3.131 Deniz Vom universum.jpg
12.08.2005 17:13 1.941 Eugen R..01.jpg
12.08.2005 17:11 670 woman.wbmp
12.08.2005 14:11 49 49ers- The Belts.ram
12.08.2005 14:08 61 In These Streets _Stat Quo_C.ram
12.08.2005 14:08 54 Redman_ThatsWhyImHere.ram
12.08.2005 14:07 53 FOXY BROWN-WELL WELL.ram
12.08.2005 14:06 61 Noreaga_ft_Pharrell-Im_A_G_P.ram
12.08.2005 14:04 59 styles p - cant believe it.ram
12.08.2005 12:54 16.384 ~DF7229.tmp
12.08.2005 12:54 16.384 ~DFA7FE.tmp
11.08.2005 21:51 2.035.566 top_bike.3gp
11.08.2005 20:37 16.384 ~DFA057.tmp
11.08.2005 20:37 16.384 ~DF9A08.tmp
11.08.2005 19:50 23.698 java_install_reg.log
11.08.2005 17:14 1.869 French.tcp
10.08.2005 23:15 2.801 Knight Rider - Theme Tune.mid
10.08.2005 22:49 16.384 ~DF8AC2.tmp
10.08.2005 22:48 16.384 ~DF5DE3.tmp
10.08.2005 22:46 20.418 btwinlog.txt
10.08.2005 18:32 76.290 virus015.avc
10.08.2005 18:32 43.421 troj027.avc
10.08.2005 18:32 50.078 troj031.avc
10.08.2005 18:26 69.632 ~B1.tmp
10.08.2005 18:17 69.632 ~AF.tmp
10.08.2005 18:16 69.632 ~AB.tmp
10.08.2005 18:14 69.632 ~A9.tmp
10.08.2005 18:12 69.632 ~94.tmp
10.08.2005 17:38 69.632 ~B8.tmp
10.08.2005 17:34 69.632 ~B6.tmp
10.08.2005 17:32 69.632 ~B4.tmp
10.08.2005 17:31 69.632 ~B2.tmp
10.08.2005 17:22 69.632 ~B0.tmp
10.08.2005 16:52 69.632 ~A7.tmp
10.08.2005 16:46 69.632 ~A5.tmp
10.08.2005 16:37 69.632 ~A3.tmp
10.08.2005 16:34 69.632 ~9F.tmp
10.08.2005 16:24 69.632 ~9B.tmp
10.08.2005 16:23 69.632 ~98.tmp
10.08.2005 16:22 69.632 ~96.tmp
10.08.2005 16:16 69.632 ~93.tmp
10.08.2005 16:08 0 aax1F.tmp
10.08.2005 14:22 50.476 troj008.avc
10.08.2005 14:22 47.107 troj026.avc
10.08.2005 13:44 16.384 ~DFCCFF.tmp
10.08.2005 13:44 16.384 ~DF267F.tmp
09.08.2005 18:22 101.222 troj001.avc
09.08.2005 18:22 49.239 ext001.avc
09.08.2005 18:22 48.710 ext004.avc
09.08.2005 18:22 1.570 avp.set
09.08.2005 16:21 13.446.446 JahshakaSetupV2_0_RC1.exe
08.08.2005 23:23 61.440 ~247.tmp
08.08.2005 23:16 61.440 ~245.tmp
08.08.2005 23:12 61.440 ~243.tmp
08.08.2005 22:34 61.440 ~241.tmp
08.08.2005 22:05 61.440 ~237.tmp
08.08.2005 21:00 61.440 ~22F.tmp
08.08.2005 18:26 61.440 ~22B.tmp
08.08.2005 17:51 61.440 ~228.tmp
08.08.2005 17:36 61.440 ~226.tmp
08.08.2005 17:01 61.440 ~224.tmp
08.08.2005 16:19 61.440 ~222.tmp
08.08.2005 16:07 61.440 ~1B9.tmp
08.08.2005 15:30 61.440 ~AE.tmp
08.08.2005 15:19 61.440 ~AC.tmp
08.08.2005 15:18 61.440 ~AA.tmp
08.08.2005 15:17 61.440 ~A8.tmp
08.08.2005 15:15 61.440 ~A6.tmp
08.08.2005 15:14 61.440 ~A4.tmp
08.08.2005 14:33 61.440 ~A2.tmp
08.08.2005 14:27 61.440 ~A0.tmp
08.08.2005 14:21 61.440 ~9E.tmp
08.08.2005 14:11 61.440 ~9C.tmp
08.08.2005 14:10 61.440 ~9A.tmp
08.08.2005 14:02 61.440 ~97.tmp
08.08.2005 13:47 61.440 ~95.tmp
08.08.2005 12:31 61.440 ~91.tmp
07.08.2005 23:21 61.440 ~99.tmp
07.08.2005 13:32 61.440 ~92.tmp
07.08.2005 13:21 61.440 ~90.tmp
06.08.2005 22:41 61.440 ~8E.tmp
06.08.2005 21:22 61.440 ~8C.tmp
06.08.2005 21:09 61.440 ~89.tmp
06.08.2005 20:48 61.440 ~83.tmp
06.08.2005 19:20 61.440 ~9D.tmp
06.08.2005 17:21 61.440 ~8F.tmp
06.08.2005 16:06 61.440 ~8D.tmp
06.08.2005 15:34 61.440 ~8B.tmp
06.08.2005 12:15 61.440 ~88.tmp
06.08.2005 12:14 61.440 ~82.tmp
06.08.2005 12:08 61.440 ~80.tmp
06.08.2005 11:59 16.384 ~DF5EC8.tmp
06.08.2005 11:58 16.384 ~DF499C.tmp
06.08.2005 09:16 61.440 ~79.tmp
05.08.2005 22:40 61.440 ~5DE.tmp
05.08.2005 22:39 61.440 ~5DC.tmp
05.08.2005 22:09 61.440 ~5DA.tmp
05.08.2005 22:09 61.440 ~5D8.tmp
05.08.2005 22:02 61.440 ~5D6.tmp
05.08.2005 21:45 61.440 ~5D4.tmp
05.08.2005 21:07 61.440 ~5D2.tmp
05.08.2005 19:51 61.440 ~5D0.tmp
05.08.2005 19:50 61.440 ~5CE.tmp
05.08.2005 19:13 61.440 ~5CC.tmp
05.08.2005 19:12 61.440 ~5CA.tmp
05.08.2005 19:11 61.440 ~5C8.tmp
05.08.2005 19:10 61.440 ~5C6.tmp
05.08.2005 19:07 61.440 ~5C4.tmp
05.08.2005 19:06 61.440 ~5C2.tmp
05.08.2005 18:35 61.440 ~5C0.tmp
05.08.2005 18:31 1.101 TWAIN.LOG
05.08.2005 18:31 4 Twain001.Mtx
05.08.2005 18:31 156 Twunk001.MTX
05.08.2005 17:33 61.440 ~5A5.tmp
05.08.2005 16:11 61.440 ~5A3.tmp
05.08.2005 15:45 61.440 ~5A1.tmp
05.08.2005 14:44 61.440 ~59F.tmp
04.08.2005 14:58 61.440 ~73.tmp
04.08.2005 14:53 16.384 ~DFBFFF.tmp
04.08.2005 14:53 16.384 ~DFB04A.tmp
04.08.2005 14:31 50.398 troj016.avc
04.08.2005 13:41 61.440 ~77.tmp
04.08.2005 13:33 61.440 ~72.tmp

und nochma...

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 70C4-923A

Verzeichnis von C:\WINDOWS

24.08.2005 09:51 0 0.log
24.08.2005 09:51 159 wiadebug.log
24.08.2005 09:51 1.475.740 WindowsUpdate.log
24.08.2005 09:51 50 wiaservc.log
24.08.2005 09:50 2.048 bootstat.dat
24.08.2005 00:06 32.626 SchedLgU.Txt
23.08.2005 15:24 562.376 ntbtlog.txt
23.08.2005 12:01 103.457 tsoc.log
23.08.2005 12:01 1.917 imsins.log
23.08.2005 12:01 39.422 iis6.log
23.08.2005 12:01 99.137 comsetup.log
23.08.2005 12:01 60.359 ntdtcsetup.log
23.08.2005 12:01 14.477 ocmsn.log
23.08.2005 12:01 13.256 msgsocm.log
23.08.2005 12:01 134.035 ocgen.log
23.08.2005 12:01 253.841 FaxSetup.log
23.08.2005 12:01 763.647 setupapi.log
23.08.2005 09:57 1.125 winamp.ini
22.08.2005 00:04 116 NeroDigital.ini
18.08.2005 21:17 76.428 wmsetup.log
18.08.2005 21:06 12 dirsaver.ini
18.08.2005 20:44 2.456 ModemLog_Kommunikationskabel zwischen zwei Computern #2.txt
18.08.2005 20:44 4.876 ModemLog_Kommunikationskabel zwischen zwei Computern.txt
14.08.2005 00:07 1.374 imsins.BAK
14.08.2005 00:07 19.306 KB899587.log
14.08.2005 00:07 13.249 updspapi.log
14.08.2005 00:07 18.794 KB899591.log
14.08.2005 00:07 18.979 KB893756.log
14.08.2005 00:07 17.659 KB896423.log
14.08.2005 00:07 19.962 KB896727.log
14.08.2005 00:06 15.247 KB899588.log
14.08.2005 00:06 15.703 KB894391.log
13.08.2005 23:39 705 win.ini
10.08.2005 23:31 1.416 psmplay.ini
10.08.2005 22:43 163.662 setupact.log
08.08.2005 22:26 2.359.350 Firefox Wallpaper.bmp

und das letzte...

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 70C4-923A

Verzeichnis von C:\

24.08.2005 10:25 0 sys.txt
24.08.2005 10:23 9.657 system.txt
24.08.2005 10:22 80.135 systemtemp.txt
24.08.2005 10:20 106.292 system32.txt
24.08.2005 09:50 536.379.392 hiberfil.sys
24.08.2005 09:50 805.306.368 pagefile.sys
23.08.2005 23:00 397 vlist.log
23.08.2005 16:56 0 23990098.$$$
23.08.2005 16:56 6 AVPCallback.log
23.08.2005 12:08 964 DebugLOG.txt
21.08.2005 23:18 2.124 .avidemuxrc
23.05.2005 23:31 540 1711.tmp
23.05.2005 23:31 9.329 170E.tmp
23.05.2005 23:31 400 170D.tmp
27.12.2004 16:25 211 boot.ini
05.12.2004 15:08 3.207 Debug_OF_StartHmt.txt
03.12.2004 16:41 0 CONFIG.SYS
03.12.2004 16:41 0 MSDOS.SYS
03.12.2004 16:41 0 AUTOEXEC.BAT
03.12.2004 16:41 0 IO.SYS
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
18.08.2001 14:00 24.448 NTBOOTDD.SYS
24 Datei(en) 1.342.227.170 Bytes
0 Verzeichnis(se), 49.853.214.720 Bytes frei

Gruss mr-energy

Hallo@mr-energy

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"


C:\DOKUME~1\MR-ENE~1.MAS\LOKALE~1\Temp\TMP48.tmp
C:\DOKUME~1\MR-ENE~1.MAS\LOKALE~1\Temp\TMP42.tmp
C:\DOKUME~1\MR-ENE~1.MAS\LOKALE~1\Temp\TMP41.tmp
C:\WINDOWS\system32\gyahugtq.exe
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7HIZ61VB\d_22_0[1].txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\a_6_0[1].txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\a_6_0[2].txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\a_6_0[3].txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\c_2_0[1].txt
C:\Programme\BearShare\Installer\saveinstwm.exe
C:\Programme\hijackthis\backups\backup-20050823-140300-158.dll
C:\WINDOWS\NDNuninstall5_64.exe
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\woinstall.exe
D:\Download\pod25ins.exe
D:\Download\tRoXs_Script_Pack_v2.0.zip
D:\Download\TrustyFiles-1.exe
D:\Download\TrustyFiles.exe


PC neustarten
--------

reg-Datei (bitte nach Anweisung abarbeiten)
http://nikita.eddys-domain.de/Artike.../msupdate.html

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

----------------------------------------------------------------------------------------------------------------------------------------------------------

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann kannst du das Haekchen wieder setzen (also die Systemwiederherstellung wieder aktivieren)

Onlinescans:Online-Scan (Panda) und McAfee FreeScan (Online)-->berichte, ob noch was gefunden wurde+ berichte, ob die Registry-Eintraege nach dem Anwenden der reg-Datei geloescht sind.
http://nikita.eddys-domain.de/onlinescan.html

C:\DOKUME~1\MR-ENE~1.MAS\LOKALE~1\Temp\TMP48.tmp
C:\DOKUME~1\MR-ENE~1.MAS\LOKALE~1\Temp\TMP42.tmp
C:\DOKUME~1\MR-ENE~1.MAS\LOKALE~1\Temp\TMP41.tmp
C:\WINDOWS\system32\gyahugtq.exe
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7HIZ61VB\d_22_0[1].txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\a_6_0[1].txt in
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\a_6_0[2].txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\a_6_0[3].txt
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\80QZPSTC\c_2_0[1].txt
C:\Programme\BearShare\Installer\saveinstwm.exe
C:\Programme\hijackthis\backups\backup-20050823-140300-158.dll
C:\WINDOWS\NDNuninstall5_64.exe
C:\WINDOWS\NDNuninstall6_38.exe
C:\WINDOWS\woinstall.exe
D:\Download\pod25ins.exe
D:\Download\tRoXs_Script_Pack_v2.0.zip
D:\Download\TrustyFiles-1.exe
D:\Download\TrustyFiles.exe

Habe ich alles mit killbox gelöscht....

und mit fixme.reg weiß nicht genau was der gemacht hat ich habe mich mit f8 in den abgesicherten modus geholt und unter mr-energy benutzer auf dem dektop auf die datei geklickt dann nach hat er mich zweimal was gefagt und ich habe ich ihn das bestästigt und dann hab ich schnell ne neustart gemacht genauers weiß ich jetzt nicht was der gemacht hat....

Die Online scanner kann ich nicht benutzen da ich firefox habe! Und mit CCleaner habe ich erstmal anlysiert und jetzt gleich werde ich die sachen löschen....

Achso ja Systemwiederherstelung sollten da einfach mal die alten einträge gelöscht werden oder wieso macht man das?

gruss
mr-energy

die Systemherstellung muss deaktiviert werden, weil sonst der Backdoor und andere Malware weiterhin auf dem System aktiv sind.
(im Grunde loescht du die Wiederherstellungspunkte...nicht schoen, aber notwendig)

die temp-Dateien muessen alle geloescht werden !!!

dann ueberpruefe mit Registry Search, ob die LEGACY_MSUPDATE
geloescht sind.
(also, das Tool noch einmal anwenden und alles posten)

wenn die Eintraege nicht geloescht sind, musst du es manuell machen (ich gebe dir dann die Anweisungen dafuer)

*~kurz einmisch:~*

@sabina wenn ein backdoor aktiv war, ist der PC kompromittiert; nicht mehr vertrauenswürdig. Du kannst niemals feststellen, ob da nicht ein Hacker bereits über den backdoor ein paar Systemdateien überschrieben hat. Es wäre auch möglich, dass bereits vor dem backdoor durch den offnen port manipuliert wurde; kommt der backdoor rein kommen auch hacker durch.

@thema: ich weiß nicht, ob da jetz einer aktiv war. deswegen:
@mr-energy poste nochmal ein HJT-Logfile. das wäre noch hilfreicher.

@sabina nicht böse auffassen aber das sollte schon geklärt werden.

Logfile of HijackThis v1.99.1
Scan saved at 12:29:55, on 24.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Disc Detector] REM C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [NvCplDaemon] REM RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [PhonostarAgent] REM C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: UltimateZip Quick Start.lnk.disabled
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: concept/design's onlineTV - {B74ACBC1-F6B0-450E-88BE-7DA3D01827CE} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{5680D09E-0E09-4E06-B811-A267FDA7B356}: NameServer = 212.6.108.140 212.6.108.141
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DF1BA28-0820-4B6A-B081-7A0017A034FE}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Wie mache ich den diesen Registry Search, ob die LEGACY_MSUPDATE?
Welches progi muss ich darfür benutzen?

......
Was ist den eigentlich mit dieser Datei ich komm gar nicht mehr klar ist mein Pc so heftig *Kaput* ,oder sowas in der art? *na klasse nobbi denkt ihr euch bestimmt...*

gruss
mr-energy

ps:hat nicht jemand icq oder so etwas?

Too nice dieses Forum....

dein PC ist nicht kaputt, sondern von einem Backdoor/Wurm gekapert ......
http://nikita.eddys-domain.de/Kompro...tesSystem.html

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

MsUpdate

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "MsUpdate" 24.08.2005 13:08:30

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSUPDATE\0000]
"Service"="MsUpdate"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSUPDATE\0000]
"Service"="MsUpdate"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSUPDATE\0000]
"Service"="MsUpdate"


Also ist das jetzt schon eindeutig das jemand auf meinem pc war oder irgenwie was gemacht hat zb datein geändert oder sich kennörter gesnifft durch tastartur zb bei ebay?

im abgesicherten modus:

Gehe in die Registry

Start --Ausfuehren --> regedit

bearbeiten --> suchen --> MSUPDATE
---------------------------------------------------------------------------------

Sollte man Probleme haben, die Einträge zu löschen,

„Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels“,

dann gehe mit Rechtsklick im Kontextmenü auf: „Berechtigungen“ Setze das Häkchen bei „Vollzugriff zulassen“ Übernehmen, OK

Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MSUPDATE

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_MSUPDATE

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_MSUPDATE

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_MSUPDATE


PC neustarten und wieder ueberpruefen, ob alles geloescht ist.

So der regshaer findet nichs mehr unter MSUPDATE... was nu? noch was machen?

mr-energy

du solltest die Systemwiederherstellung deaktivieren (neustarten + dann wieder aktivieren)

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

dann mache bitte zwei oder drei Onlinescans + berichte, was noch gefunden wird.
http://nikita.eddys-domain.de/onlinescan.html

Zitat:

Zitat von Sabina

dein PC ist nicht kaputt, sondern von einem Backdoor/Wurm gekapert ......

Welcher soll denn das sein? Bzw. aus welchem Eintrag schließt du das?

Gruß
Yopie

sorry die Verspaetung.

Nun, alles, was ich bisher mit dir abgearbeitet habe, also der Dienst und die Registryeintrage, alles ist vom Wurm/Backdoor erstellt worden.

Wenn du alles loeschst und wir den Rootkit auch lokalisieren koennen, kommst du um eine Neuinstallation von Windows drumrum.
Dennoch ist das System immer kompromitiert.
Wir wissen nicht, welche Ports geoeffnet wurden, wir wissen nicht, welche Dateien noch auf dem PC sind............

Deshalb habe ich auch zu Onlinescans geraten.....

Abhaengig, welche sensiblen Daten du auf dem PC hast...
Bist du ein "normaler" User, der ab und und an mal was spielt und private Mails schreibt, gibt es wahrscheinlich kein Problem, aber wenn du Onlinbanking machst , bei ebay kaufst und anderes, dann solltest du formatieren.

http://de.trendmicro-europe.com/cons...chster+Schritt war ich weil bei den andern geht das mit firefox nicht, der scanner hat folgendes gefunden

WORM_VB.AS
JOKE_BROD.A
JOKE_BUTTONS.A

Der Hackercheker test war negartiv....

scanne noch einmal mit einem richtigen Virenscanner, also nicht Online...

Sophos (30 Tage free)
http://www.sophos.com/products/eval/

scanne unbedingt im abgesicherten Modus ) + berichte