Hi,

Ich habe seit einiger Zeit folgendes Problem; "error cleaner" "privacy protector" "spyware&malware protection". diese Verknüfungen linken auf verschiedene internetseiten auf denen ich verschiedene antispyware tools erwerben soll. Diese Verknüpfungen sind sowohl auf dem Desktop als auch auf der Favoritenliste im Internet Explorer vorhanden.

Ausserdem bekomme ich regelmässig zwei kleine Dialogfenster auf denen etwas davon steht, dass Windows eine Internetattacke erkannt hat und das ich ein Programm downloaden soll um den Trojaner, von dem auch die Rede ist, zu entfernen.

Hier die wortgenauen Dialoge:


1. Dialogfenster:

Spyware Alert

Security Warning!

Trojan. W32. Looksky detected on your machine. This virus is distributed via the Internet through e-mails and Active-X objects. The worm has it own SMTP engine which means it gathers e-mails from your local computer and re-distributes itself. In worst cases this worm can allow attackers to access your computer, stealing passwordsand personal data.
This process should be removed from your system.

Type: virus
System Affected: Windows 2000, NT, ME, XP, Vista
Security Risk (0-5): 5
Recommendations: Click Yes to remove it from your system immediately


YES NO


(Schliessen kann man das Fenster nicht und egal was man anklickt, es öffnet sich immer eine dieser Seiten: UCleaner.com, pcsecuresystem.com,...)


2. Dialogfenster:


Windows Security Alert

Windows has detected an Internet attack attempt...
Somebody’s trying to infect your PC with spyware or harmful viruses. Run a full system scan now to protect your PC from Internet attacks, hijacking attemps an spyware! Click here to download spyware remover for total protection

OK

(…und auch da öffnet sich sofort eine der oben genannten Seiten, ob man nun OK oder x drückt)

Auch auf der Taskleiste erscheint ab und zu ein roter Kreis mit weissem Kreuz darauf und auch irgend so ein Text wie oben.

Was kann ich gegen den Trojaner machen? (...und bitte wenn es geht, ich bin nicht sehr gut informiert auf dem Gebiet; also bitte DUMMI-SPRACHE verwenden-Danke!)


Vielen Dank für eure Hilfe schon mal im Voraus.

.... falls jemand etwas damit anfangen kann...


Logfile of HijackThis v1.99.1
Scan saved at 22:40:01, on 9.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\tmnitehr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Ruth Koller\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TDWYLF98\hijackthis_199[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Steganos AntiVirus 2006\kav.exe" /minimize
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [40a41428] rundll32.exe "C:\WINDOWS\system32\vltfrdld.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi142_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193946358328
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F77CBF3-D90B-43DA-8F34-1A0FBBF15757}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2D68FAC-32BB-43C2-9804-E32EB168E711}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCA63F54-85D9-472F-AA4A-DAB76615E0EE}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer = 195.186.1.111,195.186.1.110
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00D4764.dat
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: sysdx - {7302B167-72BD-4E12-8546-F87DB313251A} - C:\WINDOWS\sysdx.dll
O21 - SSODL: msmhost - {AF3D1292-0EF7-42AE-B1E6-C60EC64E64A2} - C:\WINDOWS\msmhost.dll
O21 - SSODL: msmdev - {F0082B8C-81E2-49F8-A37B-60E90E61C435} - C:\WINDOWS\msmdev.dll
O21 - SSODL: msvb - {0665F78A-9F88-4FD4-A4F2-576AAA7C7B86} - C:\WINDOWS\msvb.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\tmnitehr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Steganos GmbH - C:\Programme\Steganos AntiVirus 2006\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Vielen Dank für eure Hilfe

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.

Du hast u.a. eine Smitfraudinfektion daher vermutlich die ganzen Warnungen, aber vorher sind da ein paar kleine Sachen zu klären.

Lass bitte diese Dateien :
C:\WINDOWS\system32\vltfrdld.dll
C:\WINDOWS\system32\tmnitehr.exe
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.


Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)


Poste die Ergebnisse, weil sehr lang, ruhig in mehreren Etappen.

MFG

Hallo


Überprüfung:

- C:\WINDOWS\system32\vltfrdld.dll



Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.09 -
AVG 7.5.0.503 2007.11.09 Lop.3.J
BitDefender 7.2 2007.11.10 -
CAT-QuickHeal 9.00 2007.11.10 -
ClamAV 0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 -
eSafe 7.0.15.0 2007.11.08 -
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.09 -
FileAdvisor 1 2007.11.10 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 -
F-Secure 6.70.13030.0 2007.11.09 -
Ikarus T3.1.1.12 2007.11.10 -
Kaspersky 7.0.0.125 2007.11.10 -
McAfee 5160 2007.11.09 -
Microsoft 1.3007 2007.11.10 -
NOD32v2 2651 2007.11.10 -
Norman 5.80.02 2007.11.09 Vundo.gen49
Panda 9.0.0.4 2007.11.10 Suspicious file
Rising 20.17.51.00 2007.11.10 -
Sophos 4.23.0 2007.11.10 -
Sunbelt 2.2.907.0 2007.11.09 -
Symantec 10 2007.11.10 -
TheHacker 6.2.9.122 2007.11.09 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 -
Webwasher-Gateway 6.0.1 2007.11.10 Trojan.Dldr.ConHook.Gen
weitere Informationen
File size: 88128 bytes
MD5: 7eb6268edd12233df07be9e090eb0508
SHA1: fcdcde061452bf6ed5c5beb57f899328587163a4





Überprüfung:

- C:\WINDOWS\system32\tmnitehr.exe





Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 TR/Fotomoto.F.1
Authentium 4.93.8 2007.11.10 -
Avast 4.7.1074.0 2007.11.10 -
AVG 7.5.0.503 2007.11.10 Obfustat.VUL
BitDefender 7.2 2007.11.10 Trojan.Fotomoto.F
CAT-QuickHeal 9.00 2007.11.10 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.10 -
DrWeb 4.44.0.09170 2007.11.10 Trojan.EzulaAd
eSafe 7.0.15.0 2007.11.08 Suspicious File
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.10 -
FileAdvisor 1 2007.11.10 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.09 -
F-Secure 6.70.13030.0 2007.11.10 -
Ikarus T3.1.1.12 2007.11.10 Trojan.Fotomoto.F
Kaspersky 7.0.0.125 2007.11.10 -
McAfee 5160 2007.11.09 Vundo.dr
Microsoft 1.3007 2007.11.10 -
NOD32v2 2651 2007.11.10 Win32/Adware.Ezula
Norman 5.80.02 2007.11.09 W32/Virtumonde.IIO
Panda 9.0.0.4 2007.11.10 Spyware/Virtumonde
Prevx1 V2 2007.11.10 Malware.Gen
Rising 20.17.52.00 2007.11.10 -
Sophos 4.23.0 2007.11.10 -
Sunbelt 2.2.907.0 2007.11.09 -
Symantec 10 2007.11.10 Adware.Ezula
TheHacker 6.2.9.123 2007.11.10 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 -
Webwasher-Gateway 6.0.1 2007.11.10 Trojan.Fotomoto.F.1
weitere Informationen
File size: 71232 bytes
MD5: ad4536bfb4d1810970ae8933ccd64de1
SHA1: 62fdda397347e086ff1124488be8acf1f340188b
Prevx info: Prevx

Hier, das sind die beiden durchgescannten (Virus Total) Dateien. Ich hoffe du kannst etwas damit anfangen. (Sorry wegen der Darstellung)

Vielen Dank für deine Hilfe

Hallo


----- Root -----------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\

10.11.2007 18:46 527'486'976 hiberfil.sys
10.11.2007 18:46 805'306'368 pagefile.sys
23.10.2007 16:27 268 sqmdata05.sqm
23.10.2007 16:27 244 sqmnoopt05.sqm
22.10.2007 16:06 268 sqmdata04.sqm
22.10.2007 16:06 244 sqmnoopt04.sqm
30.09.2007 13:16 268 sqmdata03.sqm
30.09.2007 13:16 244 sqmnoopt03.sqm
16.09.2007 10:55 1'610 check_LSA7.txt
08.09.2007 18:27 1'024 .rnd



----- System32 -------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\system32

10.11.2007 19:11 122'059 xybeg.tmp2
10.11.2007 19:11 122'059 xybeg.ini2
10.11.2007 18:50 1'014 cyoxveks.ini
10.11.2007 18:50 85'056 skevxoyc.dll
10.11.2007 18:50 71'232 yystneug.exe
10.11.2007 18:49 118'843 xybeg.bak2
10.11.2007 18:48 1'452 wpa.dbl
10.11.2007 18:47 954 aweixaqk.ini
10.11.2007 18:36 85'056 kqaxiewa.dll
10.11.2007 18:36 71'232 mmvxahbg.exe
10.11.2007 18:17 834 clobhahb.ini
10.11.2007 10:58 71'232 qvrxhrlp.exe
10.11.2007 10:43 714 dldrftlv.ini
09.11.2007 23:11 143 mcrh.tmp
09.11.2007 22:38 71'232 reexknjv.exe
09.11.2007 21:10 594 iatnsbyg.ini
08.11.2007 17:16 71'232 tmnitehr.exe
05.11.2007 18:38 10'816 kpfvtswr.dll
05.11.2007 18:37 10'816 wuyhwdcs.dll
05.11.2007 17:31 583'735 scltknel.ini
04.11.2007 17:43 86'080 lenktlcs.dll
04.11.2007 17:42 10'816 mytoeehv.dll
04.11.2007 17:42 10'816 qyhwxrnq.dll
04.11.2007 17:21 583'315 uoskrlai.ini
04.11.2007 17:00 10'816 qtoudrql.dll
04.11.2007 17:00 10'816 __c00F28E.dat
04.11.2007 17:00 10'816 rxgurfje.dll
04.11.2007 16:51 480'325 fwecywmq.ini
04.11.2007 16:48 10'816 naecgpkg.dll
04.11.2007 16:47 10'816 sfajcldm.dll
02.11.2007 23:32 169'096 FNTCACHE.DAT
01.11.2007 22:15 403'968 perfh009.dat
01.11.2007 22:15 63'188 perfc009.dat
01.11.2007 22:15 418'970 perfh007.dat
01.11.2007 22:15 76'014 perfc007.dat
01.11.2007 22:15 935'556 PerfStringBackup.INI
01.11.2007 21:38 249'852 TZLog.log
01.11.2007 15:43 2'386 xybeg.ini
01.11.2007 14:39 652 xybeg.tmp
28.10.2007 12:40 10'816 aokporgs.dll
28.10.2007 12:37 10'816 nlkpubpu.dll
28.10.2007 12:36 479'535 wvbjuojx.ini
26.10.2007 21:03 10'816 __c00F6810.dat
26.10.2007 21:03 10'816 wiuhbyhk.dll
26.10.2007 21:00 479'355 moymjffd.ini
26.10.2007 20:58 10'816 __c00B4A26.dat
26.10.2007 20:58 10'816 yrgotxtx.dll
26.10.2007 20:53 479'475 muonwlnp.ini
23.10.2007 15:43 693'910 lrvppcee.ini
05.10.2007 18:22 493'624 stvwa.ini
03.10.2007 17:52 6'513 xybeg.bak1
03.10.2007 17:51 320'608 gebyx.dll
03.10.2007 10:42 77'376 mlhbxyko.dll
03.10.2007 10:39 501'157 stvwa.bak2
03.10.2007 10:38 633'966 qpqss.ini2
03.10.2007 10:37 693'559 jarsyyps.ini
02.10.2007 17:29 85'056 spyysraj.dll
02.10.2007 17:24 489'437 stvwa.bak1
02.10.2007 17:23 319'072 awvts.dll
01.10.2007 12:50 693'850 ljefxxxx.ini
29.09.2007 16:44 633'906 qpqss.ini
29.09.2007 13:36 631'439 qpqss.tmp
28.09.2007 19:28 85'056 xxxxfejl.dll
28.09.2007 19:23 623'878 qpqss.bak2
27.09.2007 22:19 18'089'592 MRT.exe
26.09.2007 17:05 12'288 advpack.dll.mui
18.09.2007 15:50 6'454 qpqss.bak1
18.09.2007 15:49 244'832 ssqpq.dll
16.09.2007 11:57 355 tuxpkyus.ini2
16.09.2007 11:43 244'832 mljji.dll
16.09.2007 11:36 7'894 hjllm.ini
15.09.2007 18:06 6'414 hjllm.bak1
15.09.2007 18:06 244'832 mlljh.dll
15.09.2007 17:30 295 tuxpkyus.ini
15.09.2007 17:26 694'086 tuxpkyus.tmp
14.09.2007 18:53 125'504 suykpxut.dll
14.09.2007 18:50 693'845 eaouotgn.ini
13.09.2007 15:43 693'665 cmjpkvws.ini
11.09.2007 15:47 355 rsxddkuf.ini
10.09.2007 16:50 69'184 fvhkeadc.dll
09.09.2007 12:05 44'054 yayvvtq.dll
05.09.2007 11:19 21'840 SIntfNT.dll
05.09.2007 11:19 17'212 SIntf32.dll
05.09.2007 11:19 12'067 SIntf16.dll
01.09.2007 17:26 0 QTWMCI32.DLL
01.09.2007 17:12 16'832 amcompat.tlb
01.09.2007 17:12 23'392 nscompat.tlb
01.09.2007 17:12 2'272 w95inf16.dll
01.09.2007 17:12 4'608 w95inf32.dll



----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\Prefetch

10.11.2007 19:11 12'210 CMD.EXE-087B4001.pf
10.11.2007 19:10 72'706 EXPLORER.EXE-082F38A9.pf
10.11.2007 19:08 39'286 CSCRIPT.EXE-1C26180C.pf
10.11.2007 19:01 32'072 IEXPLORE.EXE-2CA9778D.pf
10.11.2007 19:01 12'146 DUMPREP.EXE-1B46F901.pf
10.11.2007 18:59 23'684 TASKMGR.EXE-20256C55.pf
10.11.2007 18:49 39'438 WINWORD.EXE-3395695A.pf
10.11.2007 18:49 36'670 KAV.EXE-11190D55.pf
10.11.2007 18:48 25'996 USNSVC.EXE-1D8C2356.pf
10.11.2007 18:48 34'018 WUAUCLT.EXE-399A8E72.pf
10.11.2007 18:48 28'838 WMIPRVSE.EXE-28F301A9.pf
10.11.2007 18:48 17'914 IPODSERVICE.EXE-233792DA.pf
10.11.2007 18:48 45'992 WGATRAY.EXE-0ED38BED.pf
10.11.2007 18:48 18'484 IMAPI.EXE-0BF740A4.pf
10.11.2007 18:18 92'110 MSNMSGR.EXE-091111D0.pf
10.11.2007 10:44 116'200 MSIEXEC.EXE-2F8A8CAE.pf
10.11.2007 10:44 25'262 SWEETIM.EXE-14A68AEB.pf
10.11.2007 10:43 17'080 ITUNESHELPER.EXE-08906EB7.pf
10.11.2007 10:43 24'382 RUNDLL32.EXE-277B527F.pf
10.11.2007 10:43 22'056 CTFMON.EXE-0E17969B.pf
10.11.2007 10:43 9'680 QTTASK.EXE-2D7EEF34.pf
09.11.2007 23:38 19'360 REGSVR32.EXE-25EEFE2F.pf
09.11.2007 23:25 37'148 CONTROL.EXE-013DBFB5.pf
09.11.2007 22:40 26'026 NOTEPAD.EXE-336351A9.pf
09.11.2007 21:50 18'976 SVCHOST.EXE-3530F672.pf
09.11.2007 21:30 43'776 ACRORD32.EXE-0D601CD4.pf
08.11.2007 19:17 40'676 LOGONUI.EXE-0AF22957.pf
08.11.2007 18:54 43'216 DRWTSN32.EXE-2B4B52AC.pf
08.11.2007 13:06 23'756 IGFXEXT.EXE-20973E2B.pf
08.11.2007 13:05 48'152 REALPLAY.EXE-14EA3547.pf
08.11.2007 12:57 19'060 RUNDLL32.EXE-451FC2C0.pf
08.11.2007 12:56 14'514 REALSCHED.EXE-0A2A7558.pf
06.11.2007 16:44 14'596 RUNDLL32.EXE-268BFF96.pf
06.11.2007 16:43 64'646 EMPIRE EARTH.EXE-0D7D41D7.pf
06.11.2007 16:43 19'206 IGFXTRAY.EXE-3391579A.pf
06.11.2007 16:43 16'584 HKCMD.EXE-1D05234B.pf
06.11.2007 16:43 20'648 NWIZ.EXE-2D0F9FBC.pf
06.11.2007 16:43 18'558 RUNDLL32.EXE-415F88EC.pf
05.11.2007 18:33 18'164 SNDVOL32.EXE-383480B7.pf
05.11.2007 17:57 44'618 DISKCLEANER.EXE-1D9562E8.pf
05.11.2007 17:22 15'826 USERINIT.EXE-30B18140.pf
04.11.2007 18:58 64'784 HELPSVC.EXE-2878DDA2.pf
04.11.2007 16:14 31'026 WKSCAL.EXE-28DC9075.pf
01.11.2007 14:18 36'074 UPDATEWIZARD.EXE-05E2AC1A.pf
01.11.2007 14:08 69'654 RUNDLL32.EXE-2576181F.pf
26.10.2007 21:45 74'972 ITUNES.EXE-15E88941.pf
26.10.2007 21:05 48'338 OIS.EXE-33076924.pf
23.10.2007 16:27 73'762 SACRED.EXE-2124E165.pf
05.10.2007 20:14 60'920 WMPLAYER.EXE-09969338.pf
05.10.2007 18:22 14'612 WKCALREM.EXE-21E976E2.pf
05.10.2007 18:21 14'078 NCLAUNCH.EXE-00F85A64.pf
30.09.2007 11:42 64'572 HELPCTR.EXE-3862B6F5.pf
18.09.2007 05:50 13'368 UNINSTALL.EXE-15278D8E.pf
18.09.2007 05:48 73'502 RUNDLL32.EXE-3D97474F.pf
18.09.2007 05:39 18'798 _IU14D2N.TMP-3724A185.pf
18.09.2007 05:16 21'640 WAS7MON.EXE-0C4A88D4.pf
17.09.2007 16:30 32'622 NFSHP2.EXE-194DF34B.pf
17.09.2007 05:21 63'818 NERO.EXE-2031B565.pf
17.09.2007 05:21 70'568 NEROSTARTSMART.EXE-0A488AA3.pf
16.09.2007 12:08 16'764 RUNDLL32.EXE-24A4CEF3.pf
16.09.2007 11:32 32'718 IS-3S8N9.TMP-2C669B53.pf
16.09.2007 11:32 8'458 SDSETUP.EXE-290F744A.pf
16.09.2007 11:25 7'968 NMBGMONITOR.EXE-0BC10095.pf
16.09.2007 11:24 14'752 NMIndexStoreSvr.exe-1DBCF9FD.pf
16.09.2007 11:09 24'790 UNINSTALLMANAGER.EXE-18EBBC62.pf
16.09.2007 11:07 20'108 RUNDLL32.EXE-1706311D.pf
15.09.2007 18:20 24'296 RUNDLL32.EXE-176D2AAD.pf
15.09.2007 18:20 33'468 PATCH.EXE-082B01FD.pf
15.09.2007 18:19 23'602 EMPIRES2.EXE-1BDBD173.pf
15.09.2007 18:18 15'064 BX18DXV.DAT-1824D2CC.pf
15.09.2007 18:18 5'798 EDI.EXE-2B059947.pf
15.09.2007 18:18 8'352 MAIN_UNINSTALLER.EXE-0C7D4C1C.pf
15.09.2007 18:17 18'866 PATCH.EXE-0A02F0A5.pf
15.09.2007 18:17 22'218 MSINFO32.EXE-20B2F2A1.pf
15.09.2007 18:17 23'444 EMPIRES2.EXE-10321CD0.pf
15.09.2007 18:16 13'744 DMXMSL.EXE-2443857C.pf
15.09.2007 18:16 21'818 RUN.EXE-2AD53890.pf
15.09.2007 18:12 19'916 CLOKSPL.EXE-1A585A8C.pf
15.09.2007 18:10 20'324 AGE2UPA.EXE-1B6CABCE.pf
15.09.2007 17:57 39'572 EMULE.EXE-184A63F1.pf
15.09.2007 17:34 42'774 WINRAR.EXE-3588DFE8.pf
15.09.2007 17:33 34'706 RUNDLL32.EXE-407BDC0D.pf
15.09.2007 17:33 29'724 VOGGI15B.EXE-32496876.pf
15.09.2007 17:33 15'950 EMPIRES2.EXE-051D9883.pf
15.09.2007 17:31 38'084 WRAR370D.EXE-214DB72D.pf
14.09.2007 19:41 31'006 RUNDLL32.EXE-2F5D59DE.pf
14.09.2007 19:24 22'956 RUNDLL32.EXE-192B6AAD.pf
14.09.2007 18:43 14'624 SPEED2.EXE-03CBCA0A.pf
13.09.2007 17:33 18'058 REGSETUP.EXE-12185876.pf
13.09.2007 17:33 11'712 REGEDIT.EXE-1B606482.pf
13.09.2007 17:31 35'586 RUNDLL32.EXE-1DE49422.pf
13.09.2007 17:27 25'244 INSTALL.EXE-2F0C08A3.pf
13.09.2007 17:03 59'140 SETUP.EXE-2ACCD133.pf
13.09.2007 17:03 26'980 VVSNINST.EXE-1D37E5DD.pf
13.09.2007 15:42 2'656 A~NSISU_.EXE-1765CC21.pf
13.09.2007 15:42 8'046 UNINST.EXE-282AC0C1.pf
13.09.2007 15:41 16'662 RUNDLL32.EXE-23927463.pf
12.09.2007 16:44 20'214 SXUNINST.EXE-362E1CC5.pf
12.09.2007 16:43 33'106 WINACE.EXE-0E352790.pf
12.09.2007 16:38 41'020 KAVSVC.EXE-25477E30.pf
12.09.2007 16:38 20'492 ORDER.EXE-2C74FB2D.pf
12.09.2007 16:35 17'866 HELPINST.EXE-141D5862.pf
12.09.2007 16:34 20'198 WACE265I.EXE-36D2DF9F.pf
11.09.2007 17:05 20'486 RUNDLL32.EXE-175078EB.pf
11.09.2007 16:16 23'946 _REGDLL.TMP-0A21129B.pf
11.09.2007 16:16 14'050 RUNDLL32.EXE-13949869.pf
11.09.2007 16:16 15'508 UWAS7CW.EXE-11387A78.pf
11.09.2007 16:16 23'350 INSTHELP.EXE-0A78F876.pf
11.09.2007 16:16 22'454 WAS7.EXE-05249590.pf
11.09.2007 16:16 18'478 UNINS000.EXE-1609A2F4.pf
11.09.2007 16:12 14'184 RUNDLL32.EXE-250C7EFA.pf
11.09.2007 16:12 23'272 _REGDLL.TMP-12245B43.pf
11.09.2007 16:11 15'018 WINANTISPYWARE2007SETUP.EXE-13650307.pf
11.09.2007 16:11 41'256 SETUP.EXE-039228F2.pf
11.09.2007 16:11 47'512 IS-RCINH.TMP-06A21D6D.pf
11.09.2007 16:11 34'552 WINANTISPYWARE2007FREEINSTALL-1566F908.pf
11.09.2007 16:10 31'360 WINANTISPYWARE2007FREEINSTALL-2670372D.pf
11.09.2007 15:47 10'732 RUNDLL32.EXE-20C1A869.pf
11.09.2007 15:47 7'152 DAEMON.EXE-28AD7272.pf
09.09.2007 14:17 26'030 RUNDLL32.EXE-4728BEDE.pf
09.09.2007 12:05 22'248 KEYGEN.EXE-09140AFD.pf
09.09.2007 12:05 36'316 AGEOFEMPIRE2UK.ZIP.EXE-37CEB238.pf
09.09.2007 00:13 23'442 SWHELP~2.EXE-2C0D3ACB.pf
08.09.2007 23:44 28'572 RUNDLL32.EXE-1B7BD3B1.pf
08.09.2007 21:45 43'034 DFRGNTFS.EXE-269967DF.pf
08.09.2007 21:45 15'884 DEFRAG.EXE-273F131E.pf
08.09.2007 21:39 454'118 Layout.ini
08.09.2007 18:15 66'714 ACRORD32.EXE-0EC716D9.pf
07.09.2007 23:13 101'866 WMPLAYER.EXE-09969339.pf



----- Windows --------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS

10.11.2007 19:08 1'136 dat.txt
10.11.2007 18:47 0 0.log
10.11.2007 18:47 1'163'098 WindowsUpdate.log
10.11.2007 18:47 54'156 QTFont.qfn
10.11.2007 18:46 2'048 bootstat.dat
10.11.2007 18:46 32'572 SchedLgU.Txt
10.11.2007 11:00 2'914 search_res.txt
10.11.2007 00:40 50 wiaservc.log
10.11.2007 00:40 430 wiadebug.log
08.11.2007 13:06 116 NeroDigital.ini
08.11.2007 12:26 1'409 QTFont.for
04.11.2007 19:01 84 wininit.ini
04.11.2007 17:59 527'523'840 MEMORY.DMP
04.11.2007 16:50 627 cookies.ini
03.11.2007 19:25 18'250 rs.txt
02.11.2007 23:33 76'157 spupdsvc.log
02.11.2007 23:33 147'633 wmsetup.log
01.11.2007 22:21 1'860'922 iis6.log
01.11.2007 22:21 573'778 comsetup.log
01.11.2007 22:21 342'212 ntdtcsetup.log
01.11.2007 22:21 694'443 tsoc.log
01.11.2007 22:21 1'374 imsins.log
01.11.2007 22:21 78'444 ocmsn.log
01.11.2007 22:21 75'457 tabletoc.log
01.11.2007 22:21 20'789 KB941202.log
01.11.2007 22:21 255'695 netfxocm.log
01.11.2007 22:21 93'264 MedCtrOC.log
01.11.2007 22:21 757'051 ocgen.log
01.11.2007 22:21 72'946 msgsocm.log
01.11.2007 22:21 1'428'046 FaxSetup.log
01.11.2007 22:19 484'868 msmqinst.log
01.11.2007 22:18 144'005 updspapi.log
01.11.2007 22:18 1'374 imsins.BAK
01.11.2007 22:18 14'086 KB933729.log
01.11.2007 21:51 18'568 KB936021.log
01.11.2007 21:48 14'702 KB939683.log
01.11.2007 21:45 208'599 setupapi.log
01.11.2007 21:38 28'986 KB933360.log
01.11.2007 21:38 18'540 KB938127-IE7.log
01.11.2007 21:38 290'556 msxml4-KB936181-enu.LOG
01.11.2007 21:37 14'997 KB936782.log
01.11.2007 21:36 17'966 KB938829.log
01.11.2007 21:36 17'178 KB921503.log
01.11.2007 21:36 16'998 KB938828.log
01.11.2007 21:36 16'621 KB936357.log
01.11.2007 21:36 16'370 KB935839.log
01.11.2007 21:36 16'049 KB935840.log
01.11.2007 21:35 16'394 KB929123.log
01.11.2007 21:35 11'848 KB927891.log
01.11.2007 21:35 15'377 KB930916.log
01.11.2007 21:35 17'667 KB932168.log
01.11.2007 21:35 13'370 KB931261.log
01.11.2007 21:35 13'673 KB930178.log
01.11.2007 21:35 14'834 KB931784.log
01.11.2007 21:34 10'155 KB929399.log
01.11.2007 21:33 13'924 KB925902.log
01.11.2007 14:50 30'223 NLSDownlevelMapping.log
01.11.2007 14:40 80'117 ie7_main.log
01.11.2007 14:40 24'527 KB915865.log
27.10.2007 16:26 95'751 KB939653-IE7.log
27.10.2007 16:25 139'830 ie7.log
27.10.2007 16:23 21'281 IDNMitigationAPIs.log
03.10.2007 17:00 274'432 bndsrvnl.dll
03.10.2007 17:00 331'776 sysdx.dll
03.10.2007 17:00 48'640 main_uninstaller.exe
03.10.2007 17:00 258'048 msvb.dll
02.10.2007 18:18 400 ODBC.INI
18.09.2007 05:40 792 SpywareDoctor505Uninstall.log
17.09.2007 17:22 683'812 setuplog.txt
16.09.2007 11:32 213 SpywareDoctor505Installation.log
15.09.2007 07:05 225'280 msmdev.dll
06.09.2007 19:19 172'032 nsduo.dll
06.09.2007 19:19 233'472 msmhost.dll
01.09.2007 17:26 832 QT$INST$.~32



----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\tasks

10.11.2007 18:46 6 SA.DAT
10.11.2007 10:45 276 AppleSoftwareUpdate.job



Teil 2 folgt...

----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\temp

10.11.2007 18:48 409 WGANotify.settings
10.11.2007 18:46 255 WGAErrLog.txt
10.11.2007 18:21 0 s1h0
05.11.2007 17:29 9'986 NetFxUpdate_v1.1.4322.log
04.11.2007 17:57 16'384 Perflib_Perfdata_ec8.dat
17.09.2007 06:44 1'048'576 PR106.tmp
16.09.2007 17:21 16'384 Perflib_Perfdata_e68.dat
16.09.2007 11:36 491'520 PR52.tmp
16.09.2007 10:54 16'384 Perflib_Perfdata_aa8.dat
15.09.2007 09:40 113 DFC5A2B2.TMP
01.09.2007 17:49 0 ~STP1207.TMP
01.09.2007 17:25 0 ~STP3B52.TMP



----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\DOKUME~1\RUTHKO~1\LOKALE~1\Temp

10.11.2007 19:11 141'943 filelist.txt
10.11.2007 19:11 0 BIT9D.tmp
10.11.2007 19:11 0 BIT78.tmp
10.11.2007 19:11 0 BITF8.tmp
10.11.2007 19:11 0 BIT52.tmp
10.11.2007 19:10 0 BIT4E.tmp
10.11.2007 19:10 0 BIT6C.tmp
10.11.2007 19:10 0 BIT4A.tmp
10.11.2007 19:10 0 BITA2.tmp
10.11.2007 19:10 0 BIT99.tmp
10.11.2007 19:10 0 BIT45.tmp
10.11.2007 19:10 0 BITE5.tmp
10.11.2007 19:10 0 BIT34.tmp
10.11.2007 19:10 0 BITC7.tmp
10.11.2007 19:10 0 BITB7.tmp
10.11.2007 19:10 0 BITC5.tmp
10.11.2007 19:09 0 BIT8.tmp
10.11.2007 19:09 0 BITD2.tmp
10.11.2007 19:09 0 BITD1.tmp
10.11.2007 19:09 0 BIT72.tmp
10.11.2007 19:09 0 BITEF.tmp
10.11.2007 19:09 0 BITBF.tmp
10.11.2007 19:09 0 BIT63.tmp
10.11.2007 19:09 0 BIT8B.tmp
10.11.2007 19:09 0 BITBA.tmp
10.11.2007 19:09 0 BIT74.tmp
10.11.2007 19:09 0 BIT57.tmp
10.11.2007 19:09 0 BIT68.tmp
10.11.2007 19:08 0 BIT82.tmp
10.11.2007 19:08 0 BIT19.tmp
10.11.2007 19:08 0 BIT6A.tmp
10.11.2007 19:08 0 BIT18.tmp
10.11.2007 19:08 0 BITE1.tmp
10.11.2007 19:08 0 BITF4.tmp
10.11.2007 19:08 0 BIT77.tmp
10.11.2007 19:08 0 BIT5F.tmp
10.11.2007 19:08 0 BIT13.tmp
10.11.2007 19:08 0 BITDF.tmp
10.11.2007 19:07 0 BITEB.tmp
10.11.2007 19:07 0 BITB4.tmp
10.11.2007 19:07 0 BITD.tmp
10.11.2007 19:07 0 BITC.tmp
10.11.2007 19:07 0 BIT4.tmp
10.11.2007 19:07 0 BIT75.tmp
10.11.2007 19:07 0 BIT6D.tmp
10.11.2007 19:04 0 BITB.tmp
10.11.2007 19:01 0 BITA.tmp
10.11.2007 18:59 0 BIT89.tmp
10.11.2007 18:57 0 BITA6.tmp
10.11.2007 18:57 512 ~DF7A01.tmp
10.11.2007 18:57 512 ~DF7994.tmp
10.11.2007 18:57 512 ~DF2FF7.tmp
10.11.2007 18:56 49'152 ~WRF0000.tmp
10.11.2007 18:56 2'733 ~WRD0001.doc
10.11.2007 18:56 34'820 ~WRS0002.tmp
10.11.2007 18:56 0 BIT9A.tmp
10.11.2007 18:55 0 BIT91.tmp
10.11.2007 18:53 0 BIT81.tmp
10.11.2007 18:52 0 BIT7D.tmp
10.11.2007 18:51 0 BITD9.tmp
10.11.2007 18:51 0 BITCE.tmp
10.11.2007 18:51 0 BIT95.tmp
10.11.2007 18:51 0 BIT15.tmp
10.11.2007 18:49 512 ~DF5D25.tmp
10.11.2007 18:48 512 ~DFE75.tmp
10.11.2007 18:48 147'456 ~DFB2B.tmp
10.11.2007 18:48 512 ~DF72E0.tmp
10.11.2007 18:48 147'456 ~DF72B7.tmp
10.11.2007 18:41 0 BIT60.tmp
10.11.2007 18:35 316 ac8zt2.dat
10.11.2007 11:22 32'256 ~WRC0000.tmp
10.11.2007 11:17 0 BIT9.tmp
10.11.2007 10:44 0 BITF7.tmp
10.11.2007 00:22 0 BITF3.tmp
10.11.2007 00:07 0 BITE7.tmp
10.11.2007 00:03 0 BITF0.tmp
09.11.2007 23:44 0 BITEE.tmp
09.11.2007 23:43 0 BITED.tmp
09.11.2007 23:42 0 BITEC.tmp
09.11.2007 23:42 0 BITEA.tmp
09.11.2007 23:41 0 BITE9.tmp
09.11.2007 23:40 0 BITE8.tmp
09.11.2007 23:39 388'090 BITE6.tmp
09.11.2007 23:38 0 BITE4.tmp
09.11.2007 23:37 0 BITE3.tmp
09.11.2007 23:36 0 BITE2.tmp
09.11.2007 23:35 0 BITE0.tmp
09.11.2007 23:34 0 BITDE.tmp
09.11.2007 23:33 0 BITDD.tmp
09.11.2007 23:33 388'090 BITDC.tmp
09.11.2007 23:32 0 BITDB.tmp
09.11.2007 23:31 0 BITDA.tmp
09.11.2007 23:30 0 BITD8.tmp
09.11.2007 23:29 0 BITD7.tmp
09.11.2007 23:29 388'090 BITD6.tmp
09.11.2007 23:28 0 BITD5.tmp
09.11.2007 23:27 0 BITD4.tmp
09.11.2007 23:27 0 BITD3.tmp
09.11.2007 23:26 0 BITC3.tmp
09.11.2007 23:23 0 BITD0.tmp
09.11.2007 23:20 0 BITCF.tmp
09.11.2007 23:20 0 BITCD.tmp
09.11.2007 23:19 0 BITCC.tmp
09.11.2007 23:18 0 BITCB.tmp
09.11.2007 23:18 0 BITCA.tmp
09.11.2007 23:17 0 BITC9.tmp
09.11.2007 23:16 0 BITC8.tmp
09.11.2007 23:16 0 BITC6.tmp
09.11.2007 23:15 0 BITC4.tmp
09.11.2007 23:14 0 BITC2.tmp
09.11.2007 23:13 0 BITC1.tmp
09.11.2007 23:12 0 BITC0.tmp
09.11.2007 23:12 0 BITBE.tmp
09.11.2007 23:10 0 BITB8.tmp
09.11.2007 22:58 0 BITB6.tmp
09.11.2007 22:51 0 BITB5.tmp
09.11.2007 22:51 0 BITB3.tmp
09.11.2007 22:50 0 BITA5.tmp
09.11.2007 22:49 0 BITA3.tmp
09.11.2007 22:48 0 BITA1.tmp
09.11.2007 22:48 0 BITA0.tmp
09.11.2007 22:47 0 BIT9E.tmp
09.11.2007 22:47 0 BIT97.tmp
09.11.2007 22:46 0 BIT96.tmp
09.11.2007 22:45 0 BIT94.tmp
09.11.2007 22:45 0 BIT92.tmp
09.11.2007 22:44 0 BIT8F.tmp
09.11.2007 22:44 0 BIT8D.tmp
09.11.2007 22:43 0 BIT8A.tmp
09.11.2007 22:42 0 BIT86.tmp
09.11.2007 22:42 0 BIT84.tmp
09.11.2007 22:41 0 BIT80.tmp
09.11.2007 22:31 0 BIT76.tmp
09.11.2007 22:24 0 BIT64.tmp
09.11.2007 22:08 0 BIT73.tmp
09.11.2007 21:57 0 BIT71.tmp
09.11.2007 21:56 0 BIT69.tmp
09.11.2007 21:54 0 BIT70.tmp
09.11.2007 21:53 0 BIT6F.tmp
09.11.2007 21:52 0 BIT6E.tmp
09.11.2007 21:51 0 BIT6B.tmp
09.11.2007 21:35 0 BIT67.tmp
09.11.2007 21:34 0 BIT66.tmp
09.11.2007 21:33 0 BIT65.tmp
09.11.2007 21:32 0 BIT62.tmp
09.11.2007 21:32 388'090 BIT5B.tmp
09.11.2007 21:31 0 BITA4.tmp
09.11.2007 21:19 0 BIT58.tmp
09.11.2007 21:16 0 BIT17.tmp
09.11.2007 21:14 0 BIT14.tmp
09.11.2007 21:13 0 BIT7.tmp
09.11.2007 21:13 0 BIT6.tmp
09.11.2007 21:13 0 BIT5.tmp
09.11.2007 21:13 0 BITB2.tmp
09.11.2007 21:13 0 BITB1.tmp
09.11.2007 21:13 0 BITB0.tmp
09.11.2007 21:13 0 BITAF.tmp
09.11.2007 21:13 0 BITAE.tmp
09.11.2007 21:13 0 BITAD.tmp
09.11.2007 21:13 0 BITAC.tmp
09.11.2007 21:13 0 BITAB.tmp
09.11.2007 21:13 0 BITAA.tmp
09.11.2007 21:13 388'090 BITA9.tmp
09.11.2007 21:12 0 BITA8.tmp
09.11.2007 21:12 0 BITA7.tmp
08.11.2007 19:04 0 BIT9F.tmp
08.11.2007 18:50 0 BIT9C.tmp
08.11.2007 18:47 0 BIT93.tmp
08.11.2007 18:39 0 BIT9B.tmp
08.11.2007 18:36 0 BIT98.tmp
08.11.2007 18:35 0 BIT8E.tmp
08.11.2007 18:06 25'214 dat90.tmp
08.11.2007 18:05 25'214 dat8F.tmp
08.11.2007 18:02 0 BIT88.tmp
08.11.2007 18:01 0 BIT87.tmp
08.11.2007 18:00 0 BIT85.tmp
08.11.2007 17:58 0 BIT83.tmp
08.11.2007 17:57 388'090 BIT7F.tmp
08.11.2007 17:52 0 BIT7E.tmp
08.11.2007 17:52 388'090 BIT54.tmp
08.11.2007 17:46 0 BIT7C.tmp
08.11.2007 17:26 0 BIT50.tmp
08.11.2007 17:26 0 BIT7A.tmp
08.11.2007 17:25 0 BIT61.tmp
08.11.2007 17:24 0 BIT5E.tmp
08.11.2007 17:24 0 BIT40.tmp
08.11.2007 17:23 0 BIT5D.tmp
08.11.2007 17:23 0 BIT37.tmp
08.11.2007 17:23 0 BIT5C.tmp
08.11.2007 17:22 0 BIT5A.tmp
08.11.2007 17:22 0 BIT2A.tmp
08.11.2007 17:22 388'090 BIT59.tmp
08.11.2007 17:21 0 BIT56.tmp
08.11.2007 17:20 0 BIT55.tmp
08.11.2007 17:16 0 BIT53.tmp
08.11.2007 17:16 0 BIT16.tmp
08.11.2007 17:16 0 BIT51.tmp
08.11.2007 17:15 0 BIT4F.tmp
08.11.2007 17:15 0 BIT4D.tmp
08.11.2007 17:15 0 BIT4C.tmp
08.11.2007 17:15 0 BIT4B.tmp
08.11.2007 17:14 0 BIT49.tmp
08.11.2007 17:14 0 BIT48.tmp
08.11.2007 17:14 0 BIT47.tmp
08.11.2007 17:14 0 BIT46.tmp
08.11.2007 17:14 0 BIT44.tmp
08.11.2007 17:14 0 BIT43.tmp
08.11.2007 17:14 0 BIT42.tmp
08.11.2007 17:14 0 BIT41.tmp
08.11.2007 17:14 388'090 BIT3F.tmp
08.11.2007 17:13 0 BIT3E.tmp
08.11.2007 17:13 0 BIT3D.tmp
08.11.2007 17:13 0 BIT3C.tmp
08.11.2007 17:13 0 BIT3B.tmp
08.11.2007 17:13 0 BIT3A.tmp
08.11.2007 17:13 0 BIT39.tmp
08.11.2007 17:13 0 BIT38.tmp
08.11.2007 17:12 0 BIT36.tmp
08.11.2007 17:12 0 BIT35.tmp
08.11.2007 17:12 0 BIT33.tmp
08.11.2007 17:12 0 BIT32.tmp
08.11.2007 17:12 0 BIT31.tmp
08.11.2007 17:12 0 BIT30.tmp
08.11.2007 17:12 0 BIT2F.tmp
08.11.2007 17:12 0 BIT2E.tmp
08.11.2007 17:12 0 BIT2D.tmp
08.11.2007 17:12 0 BIT2C.tmp
08.11.2007 17:12 388'090 BIT2B.tmp
08.11.2007 17:12 388'090 BIT29.tmp
08.11.2007 17:11 0 BIT28.tmp
08.11.2007 17:11 0 BIT27.tmp
08.11.2007 17:11 0 BIT26.tmp
08.11.2007 17:11 0 BIT25.tmp
08.11.2007 17:11 0 BIT24.tmp
08.11.2007 17:11 0 BIT23.tmp
08.11.2007 17:11 0 BIT22.tmp
08.11.2007 17:11 0 BIT21.tmp
08.11.2007 17:11 0 BIT20.tmp
08.11.2007 17:11 388'090 BIT1F.tmp
08.11.2007 17:10 0 BIT1E.tmp
08.11.2007 17:10 0 BIT1D.tmp
08.11.2007 17:10 0 BIT1C.tmp
08.11.2007 17:10 0 BIT1B.tmp
08.11.2007 17:10 0 BIT1A.tmp
23.10.2007 16:21 85'946 BIT3.tmp
23.10.2007 16:14 85'946 BIT1.tmp
22.10.2007 15:47 1'454 wmplog02.sqm
22.10.2007 15:46 1'466 wmplog01.sqm



OK ich glaube das war jetzt alles :-) (von Filelist)
Danke noch mal

Hallo nochmal

Hier ist noch das Protokoll vom eScan:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.5.4
Sprache: German
Virus-Datenbank Datum: 11/8/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "newmediacodec Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ace club casino Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ace club casino Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with image activex access Trojan ({a8954909-1f0f-41a5-a7fa-3b376d69e226})! Action taken: Keine Aktion vorgenommen.
System found infected with image activex access Trojan ({967a494a-6aec-4555-9caf-fa6eb00acf91})! Action taken: Keine Aktion vorgenommen.
System found infected with image activex access Trojan ({9692be2f-eb8f-49d9-a11c-c24c1ef734d5})! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (error cleaner.url)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (privacy protector.url)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (spyware&malware protection.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (error cleaner.url)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (privacy protector.url)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (spyware&malware protection.url)! Action taken: Keine Aktion vorgenommen.
System found infected with conhook.y Trojan (C:\WINDOWS\system32\gebyx.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with newmediacodec Trojan (C:\WINDOWS\sysdx.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.looksy Trojan (C:\WINDOWS\msvb.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with conhook.y Trojan (C:\WINDOWS\system32\ssqpq.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\__c00B4A26.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00F28E.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00F6810.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BIT53.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Zlob.cpx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BIT68.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Zlob.cpx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BIT79.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Agent.dag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BIT99.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Agent.dag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BIT9E.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Agent.dag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BITB1.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Agent.dag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BITBA.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Agent.dag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BITCA.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Zlob.cpx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BITD0.tmp/ac8zt2/edi.exe infiziert von "Trojan-Downloader.Win32.Agent.dag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\USER\Eigene Dateien\Meine empfangenen Dateien\install.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00B4A26.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00F28E.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00F6810.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\sysdx.dll markiert als "not-a-virus:AdWare.Win32.Agent.mj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msmhost.dll markiert als "not-a-virus:AdWare.Win32.Agent.jw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msmdev.dll markiert als "not-a-virus:AdWare.Win32.Agent.iv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msvb.dll markiert als "not-a-virus:AdWare.Win32.Agent.mi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\nsduo.dll markiert als "not-a-virus:AdWare.Win32.Agent.kc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msmdev.dll markiert als "not-a-virus:AdWare.Win32.Agent.iv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msmhost.dll markiert als "not-a-virus:AdWare.Win32.Agent.jw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msvb.dll markiert als "not-a-virus:AdWare.Win32.Agent.mi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\nsduo.dll markiert als "not-a-virus:AdWare.Win32.Agent.kc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\sysdx.dll markiert als "not-a-virus:AdWare.Win32.Agent.mj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\yayvvtq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BIT1C.tmp/ac8zt2/afxp.dll markiert als "not-a-virus:AdWare.Win32.Agent.lx". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BITA3.tmp/ac8zt2/edi.exe markiert als "not-a-virus:AdWare.Win32.Agent.lf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BITD2.tmp/ac8zt2/edi.exe markiert als "not-a-virus:AdWare.Win32.Agent.lf". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msmdev.dll markiert als "not-a-virus:AdWare.Win32.Agent.iv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msmhost.dll markiert als "not-a-virus:AdWare.Win32.Agent.jw". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\msvb.dll markiert als "not-a-virus:AdWare.Win32.Agent.mi". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\nsduo.dll markiert als "not-a-virus:AdWare.Win32.Agent.kc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\sysdx.dll markiert als "not-a-virus:AdWare.Win32.Agent.mj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\yayvvtq.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Ruth Koller\Desktop\error cleaner.url
Offending file found: C:\Dokumente und Einstellungen\Ruth Koller\Desktop\internet.lnk
Offending file found: C:\Dokumente und Einstellungen\Ruth Koller\Desktop\privacy protector.url
Offending file found: C:\Dokumente und Einstellungen\Ruth Koller\Desktop\spyware&malware protection.url
Offending file found: C:\Dokumente und Einstellungen\Ruth Koller\Favoriten\error cleaner.url
Offending file found: C:\Dokumente und Einstellungen\Ruth Koller\Favoriten\privacy protector.url
Offending file found: C:\Dokumente und Einstellungen\Ruth Koller\Favoriten\spyware&malware protection.url
Offending file found: C:\WINDOWS\system32\gebyx.dll
Offending file found: C:\WINDOWS\sysdx.dll
Offending file found: C:\WINDOWS\msvb.dll
Offending file found: C:\WINDOWS\system32\ssqpq.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\WINDOWS\privacy_danger
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\roulette
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\roulette
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = C:\WINDOWS\java\trustlib\vbras.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vbras). Deleting Registry Key vbras...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\3. Heiner\Lokale Einstellungen\Temp\BIT24.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 133730
Gefundene Viren: 54
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 145
Dauer des Scans bisher: 01:31:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 23:40:56.92
Batchende: 23:41:21.76



...und wie werde ich das Zeugs jetzt wieder los???


Vielen Dank für deine Hilfe

Hallo

Zitat:

...und wie werde ich das Zeugs jetzt wieder los?

ein bisschen zeit und arbeit wird das ganze schon erfordern...

Deaktiviere bitte zuerst die Systemwiederherstellung --> Systemwiederherstellung

Lass nun nacheinander diese Programme laufen

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen


Lade dir den Ccleaner
CCleaner Download
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte dein System in den abgesicherten Modus (beim start F8 drücken)
-Starte dann Smitfraudfix und lass das System Bereinigen (Option 2) und speichere den rapport.txt



-Starte deinen Rechner in den normalen Modus und lass den CCleaner nochmal seine arbeit tun
-Poste danach wie in der Anleitung beschrieben, die Ergebnisse der Scans und nochmal den Inhalt des Ordners System32 aus der Filelist (neu laufen lassen)

Dann berichte bitte ob es noch Probleme gibt.

MFG

Guten Morgen

Vielen Dank für deine Antwort. Na dann werde ich jetzt mal deine Anleitung durchmachen, in der Hoffnung es nützt was


LG

Hallo

Hier noch die beiden Berichte:

ComboFix:

ComboFix 07-11-08.1 - Ruth Koller 2007-11-11 13:01:11.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.224 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ruth Koller\Desktop\ComboFix.exe
.

Nicht in der Lage Systemrechte zu erhalten

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt
C:\Dokumente und Einstellungen\3. Heiner\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\3. Heiner\Desktop\internet.lnk
C:\Dokumente und Einstellungen\3. Heiner\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\3. Heiner\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\3. Heiner\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\3. Heiner\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\3. Heiner\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Ruth Koller\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Ruth Koller\Desktop\internet.lnk
C:\Dokumente und Einstellungen\Ruth Koller\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Ruth Koller\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Ruth Koller\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Ruth Koller\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Ruth Koller\Favoriten\Spyware&Malware Protection.url
C:\WINDOWS\bndsrvnl.dll
C:\WINDOWS\cookies.ini
C:\WINDOWS\dat.txt
C:\WINDOWS\java\trustlib\sarbv.bak2
C:\WINDOWS\java\trustlib\sarbv.ini
C:\WINDOWS\java\trustlib\sarbv.ini2
C:\WINDOWS\java\trustlib\sarbv.tmp
C:\WINDOWS\main_uninstaller.exe
C:\WINDOWS\msmdev.dll
C:\WINDOWS\msmhost.dll
C:\WINDOWS\msvb.dll
C:\WINDOWS\nsduo.dll
C:\WINDOWS\regedit.com
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\sysdx.dll
C:\WINDOWS\system32\__c006DEBD.dat
C:\WINDOWS\system32\__c00804C6.dat
C:\WINDOWS\system32\__c00B4A26.dat
C:\WINDOWS\system32\__c00DF390.dat
C:\WINDOWS\system32\__c00F28E.dat
C:\WINDOWS\system32\__c00F6810.dat
C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\bplbwdvf.dll
C:\WINDOWS\system32\drivers\fopn.sys
C:\WINDOWS\system32\eueuvmts.dll
C:\WINDOWS\system32\nmsjjsaq.dll
C:\WINDOWS\system32\rqscdfml.dll
C:\WINDOWS\system32\stvwa.bak1
C:\WINDOWS\system32\stvwa.bak2
C:\WINDOWS\system32\stvwa.ini
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tuxpkyus.ini
C:\WINDOWS\system32\tuxpkyus.ini2
C:\WINDOWS\system32\tuxpkyus.tmp
C:\WINDOWS\system32\wjehntsc.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((( Dateien erstellt von 2007-10-11 bis 2007-11-11 ))))))))))))))))))))))))))))))
.

2007-11-11 12:54 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-11 11:48 88,128 --a------ C:\WINDOWS\system32\uetfdvyc.dll
2007-11-11 11:48 71,232 --a------ C:\WINDOWS\system32\tgytfvwu.exe
2007-11-11 11:46 <DIR> d-------- C:\VundoFix Backups
2007-11-11 11:35 71,232 --a------ C:\WINDOWS\system32\bjrwudxn.exe
2007-11-10 23:47 71,232 --a------ C:\WINDOWS\system32\svbqmtxm.exe
2007-11-10 22:38 <DIR> d-------- C:\Dokumente und Einstellungen\Ruth Koller\Anwendungsdaten\TuneUp Software
2007-11-10 22:07 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-10 22:07 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-10 22:07 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-10 22:07 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-10 22:07 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-10 22:07 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-10 22:07 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-10 22:07 5,466,826 --a------ C:\WINDOWS\REGBK00.ZIP
2007-11-10 21:28 153,600 --a------ C:\WINDOWS\R.COM
2007-11-10 21:28 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-10 18:50 71,232 --a------ C:\WINDOWS\system32\yystneug.exe
2007-11-10 18:36 71,232 --a------ C:\WINDOWS\system32\mmvxahbg.exe
2007-11-10 10:58 71,232 --a------ C:\WINDOWS\system32\qvrxhrlp.exe
2007-11-09 22:38 71,232 --a------ C:\WINDOWS\system32\reexknjv.exe
2007-11-08 17:16 71,232 --a------ C:\WINDOWS\system32\tmnitehr.exe
2007-11-04 17:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-04 16:47 10,816 --a------ C:\WINDOWS\system32\sfajcldm.dll
2007-11-04 16:47 10,816 --a------ C:\WINDOWS\system32\naecgpkg.dll
2007-10-27 15:59 459,264 --a------ C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-27 15:59 383,488 --a------ C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-27 15:59 267,776 --a------ C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-27 15:59 52,224 --a------ C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-27 15:59 13,824 --a------ C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-27 15:58 6,058,496 --a------ C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-27 15:58 2,455,488 --a------ C:\WINDOWS\system32\dllcache\ieapfltr.dat
2007-10-27 15:58 63,488 --a------ C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-22 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Ruth Koller\Anwendungsdaten\CyberLink
2007-10-22 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\Ruth Koller\Anwendungsdaten\Grisoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-10 09:45 --------- d-----w C:\Programme\Apple Software Update
2007-09-18 15:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-09-13 16:03 --------- d-----w C:\Programme\Setup
2007-06-07 12:50 986,869 ----a-w C:\Programme\realplay.chm
2007-06-07 12:50 719,360 ----a-w C:\Programme\dbghelp.dll
2007-06-07 12:50 67,221 ----a-w C:\Programme\howto.chm
2007-06-07 12:50 667,648 ----a-w C:\Programme\rjbres.dll
2007-06-07 12:50 642,408 ----a-w C:\Programme\normal.vs
2007-06-07 12:50 57,344 ----a-w C:\Programme\tpasdk.dll
2007-06-07 12:50 568 ----a-w C:\Programme\fpsectbl
2007-06-07 12:50 54,864 ----a-w C:\Programme\rpshellsearch.dll
2007-06-07 12:50 49,152 ----a-w C:\Programme\mmcdda32.dll
2007-06-07 12:50 49,152 ----a-w C:\Programme\ierjplug.dll
2007-06-07 12:50 339,968 ----a-w C:\Programme\dtdr3260.dll
2007-06-07 12:50 335,872 ----a-w C:\Programme\rjdlg.dll
2007-06-07 12:50 32,768 ----a-w C:\Programme\tnetdtct.dll
2007-06-07 12:50 32,768 ----a-w C:\Programme\rpwa3260.dll
2007-06-07 12:50 32,768 ----a-w C:\Programme\rjprog.dll
2007-06-07 12:50 28,672 ----a-w C:\Programme\wmdmhelper.dll
2007-06-07 12:50 20,480 ----a-w C:\Programme\fixrjb.exe
2007-06-07 12:50 2,851 ----a-w C:\Programme\cdroms.cfg
2007-06-07 12:50 16,296 ----a-w C:\Programme\realtfon.fon
2007-06-07 12:50 139,264 ----a-w C:\Programme\DUNZIP32.dll
2007-06-07 12:50 119,808 ----a-w C:\Programme\waiting.avi
2007-06-07 12:50 11,444 ----a-w C:\Programme\frw.bmp
2007-06-07 12:50 102,400 ----a-w C:\Programme\tsasdk.dll
2007-06-07 12:49 86,016 ----a-w C:\Programme\rpplugprot.dll
2007-06-07 12:49 682 ----a-w C:\Programme\realplay.exe.manifest
2007-06-07 12:49 65,265 ----a-w C:\Programme\RealNetworks License.html
2007-06-07 12:49 65,265 ----a-w C:\Programme\playrlic.html
2007-06-07 12:49 63,313 ----a-w C:\Programme\RealNetworks License.txt
2007-06-07 12:49 63,313 ----a-w C:\Programme\playrlic.txt
2007-06-07 12:49 61,495 ----a-w C:\Programme\ssimages.vs
2007-06-07 12:49 61,440 ----a-w C:\Programme\rjwmapln.dll
2007-06-07 12:49 57,344 ----a-w C:\Programme\rdsf3260.dll
2007-06-07 12:49 54,848 ----a-w C:\Programme\rpshell.dll
2007-06-07 12:49 53,098 ----a-w C:\Programme\presets.rnx
2007-06-07 12:49 50 ----a-w C:\Programme\strs23.dat
2007-06-07 12:49 480 ----a-w C:\Programme\keys.dat
2007-06-07 12:49 45,056 ----a-w C:\Programme\rpau3260.dll
2007-06-07 12:49 331,776 ----a-w C:\Programme\CDDBRealControl.dll
2007-06-07 12:49 28,851 ----a-w C:\Programme\Readme.html
2007-06-07 12:49 23,558 ----a-w C:\Programme\freeoffers.ico
2007-06-07 12:49 221 ----a-w C:\Programme\subscription.rnx
2007-06-07 12:49 214,560 ----a-w C:\Programme\realplay.exe
2007-06-07 12:49 20,480 ----a-w C:\Programme\rphelperapp.exe
2007-06-07 12:49 20,480 ----a-w C:\Programme\realjbox.exe
2007-06-07 12:49 177 ----a-w C:\Programme\freeoffers.rnx
2007-06-07 12:49 17,846 ----a-w C:\Programme\videotest.rm
2007-06-07 12:49 15 ----a-w C:\Programme\strs26.dat
2007-06-07 12:49 1,182 ----a-w C:\Programme\autoplaylist.dat
2007-06-05 17:09:20 61 --sha-w C:\WINDOWS\cnerolf.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{077B90D6-8BFC-4FE1-8E5B-AFEA151A52FA}]
C:\WINDOWS\system32\gebyx.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48FCEFF8-7FC8-4EE4-99B7-E7B0641C892D}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC7C2A69-AF9C-4685-A09B-85EAC898C406}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-10-06 13:16]
"nwiz"="nwiz.exe" [2003-10-06 13:16 C:\WINDOWS\system32\nwiz.exe]
"KAVPersonal50"="C:\Programme\Steganos AntiVirus 2006\kav.exe" [2005-07-05 13:52]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2003-10-02 13:37]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2003-10-02 13:19]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-07 13:49]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-08-15 19:15]
"SweetIM"="C:\Programme\Macrogaming\SweetIM\SweetIM.exe" [2007-08-12 10:02]
"Trojancheck 6 Guard"="C:\Programme\Trojancheck 6\tcguard.exe" []
"40a41428"="C:\WINDOWS\system32\uetfdvyc.dll" [2007-11-11 11:48]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 11:00]
"NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY.DLL" [2003-10-06 13:16]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]
"msnmsgr"="~C:\Programme\MSN Messenger\msnmsgr.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
Mixer.exe /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]
C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys
R3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
S3 lmimirr;lmimirr;C:\WINDOWS\system32\DRIVERS\lmimirr.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

.
Inhalt des "geplante Tasks" Ordners
"2007-06-15 15:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
"2007-11-10 09:45:43 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 13:14:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 5

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-11 13:17:12 - machine was rebooted
.
--- E O F ---



SmitFraudFix:

SmitFraudFix v2.252

Scan done at 13:32:21.95, So 11.11.2007
Run from C:\Dokumente und Einstellungen\Ruth Koller\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

Problem while deleting C:\WINDOWS\privacy_danger

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CCS\Services\Tcpip\..\{1DF8083D-F553-49DF-845B-6120318E054C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{3F77CBF3-D90B-43DA-8F34-1A0FBBF15757}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F2D68FAC-32BB-43C2-9804-E32EB168E711}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FCA63F54-85D9-472F-AA4A-DAB76615E0EE}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1DF8083D-F553-49DF-845B-6120318E054C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3F77CBF3-D90B-43DA-8F34-1A0FBBF15757}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F2D68FAC-32BB-43C2-9804-E32EB168E711}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FCA63F54-85D9-472F-AA4A-DAB76615E0EE}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1DF8083D-F553-49DF-845B-6120318E054C}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3F77CBF3-D90B-43DA-8F34-1A0FBBF15757}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F2D68FAC-32BB-43C2-9804-E32EB168E711}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FCA63F54-85D9-472F-AA4A-DAB76615E0EE}: NameServer=195.186.1.111,195.186.1.110
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.


»»»»»»»»»»»»»»»»»»»»»»»» End


Als Veränderungen habe ich nun festgestellt:


- PC läuft wieder schneller
- Keine einzige dieser tollen Meldungen mehr
- Keine der 3 Desktop Verknüpfungen mehr
- Die Verknüpfungen in der Favoritenliste sind auch weg


Ich glaube das sind schon mal ganz gute Zeichen, oder???
Vielen vielen Dank für deine erfolgreiche Hilfe.

Hallo

Zitat:

Ich glaube das sind schon mal ganz gute Zeichen, oder?

Die Zeichen sind schon ganz gut

Zitat:

Vielen vielen Dank für deine erfolgreiche Hilfe.

Wir sind leider noch nicht ganz durch

Erstelle bitte ein neues HijackThis Log, entpacke dazu die Datei (*.zip) in einen eigenen Ordner (z.B. C:\HJT) den du vorher anlegst und benenne die Hijackthis.exe dann um in z.B. ABC.exe, erst jetzt das neue Log erstellen.

Zeige uns bitte einen neuen Auszug (nur der System32 Ordner) aus der Filelist.

Und lass bitte mal Silentrunners laufen

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG

Hallo

Hier schon mal das neue HijackThis logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:24, on 11.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\CfgWiz.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {077B90D6-8BFC-4FE1-8E5B-AFEA151A52FA} - (no file)
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {48FCEFF8-7FC8-4EE4-99B7-E7B0641C892D} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {DC7C2A69-AF9C-4685-A09B-85EAC898C406} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] "C:\Programme\Gemeinsame Dateien\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cfgwiz.exe" /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi142_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-CH/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193946358328
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F77CBF3-D90B-43DA-8F34-1A0FBBF15757}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2D68FAC-32BB-43C2-9804-E32EB168E711}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCA63F54-85D9-472F-AA4A-DAB76615E0EE}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer = 195.186.1.111,195.186.1.110
O17 - HKLM\System\CS2\Services\Tcpip\..\{0B29BB01-E7D6-4C80-BE2A-6CBE3FF4B34E}: NameServer = 195.186.1.111,195.186.1.110
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8892 bytes


LG

PS: Filelist & Silentrunners folgt

Filelist:


----- Root -----------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\

11.11.2007 19:11 527'486'976 hiberfil.sys
11.11.2007 19:11 805'306'368 pagefile.sys
11.11.2007 13:38 3'396 rapport.txt
11.11.2007 13:17 12'536 ComboFix.txt
11.11.2007 12:44 2'978 VundoFix.txt
10.11.2007 23:39 0 23990098.$$$
23.10.2007 16:27 268 sqmdata05.sqm
23.10.2007 16:27 244 sqmnoopt05.sqm
22.10.2007 16:06 268 sqmdata04.sqm
22.10.2007 16:06 244 sqmnoopt04.sqm
30.09.2007 13:16 268 sqmdata03.sqm
30.09.2007 13:16 244 sqmnoopt03.sqm
08.09.2007 18:27 1'024 .rnd


----- System32 -------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\system32

11.11.2007 19:11 1'452 wpa.dbl
11.11.2007 13:39 585'736 cyvdfteu.ini
11.11.2007 13:32 0 tmp.txt
11.11.2007 13:32 2'376 tmp.reg
11.11.2007 11:40 1'374 kpjovhod.ini
10.11.2007 23:43 1'134 cyoxveks.ini
10.11.2007 18:47 954 aweixaqk.ini
10.11.2007 18:17 834 clobhahb.ini
10.11.2007 10:43 714 dldrftlv.ini
09.11.2007 21:10 594 iatnsbyg.ini
05.11.2007 17:31 583'735 scltknel.ini
04.11.2007 17:21 583'315 uoskrlai.ini
04.11.2007 16:51 480'325 fwecywmq.ini
02.11.2007 23:32 169'096 FNTCACHE.DAT
01.11.2007 22:15 403'968 perfh009.dat
01.11.2007 22:15 63'188 perfc009.dat
01.11.2007 22:15 418'970 perfh007.dat
01.11.2007 22:15 76'014 perfc007.dat
01.11.2007 22:15 935'556 PerfStringBackup.INI
01.11.2007 21:38 249'852 TZLog.log
28.10.2007 12:36 479'535 wvbjuojx.ini
26.10.2007 21:00 479'355 moymjffd.ini
26.10.2007 20:53 479'475 muonwlnp.ini
23.10.2007 15:43 693'910 lrvppcee.ini
03.10.2007 23:36 25'600 WS2Fix.exe
01.10.2007 12:50 693'850 ljefxxxx.ini
27.09.2007 22:19 18'089'592 MRT.exe
26.09.2007 17:05 12'288 advpack.dll.mui
14.09.2007 18:50 693'845 eaouotgn.ini
13.09.2007 15:43 693'665 cmjpkvws.ini
11.09.2007 15:47 355 rsxddkuf.ini
05.09.2007 23:22 289'144 VCCLSID.exe
05.09.2007 11:19 21'840 SIntfNT.dll
05.09.2007 11:19 17'212 SIntf32.dll
05.09.2007 11:19 12'067 SIntf16.dll
01.09.2007 17:26 0 QTWMCI32.DLL
01.09.2007 17:12 16'832 amcompat.tlb
01.09.2007 17:12 23'392 nscompat.tlb
01.09.2007 17:12 2'272 w95inf16.dll
01.09.2007 17:12 4'608 w95inf32.dll


----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\Prefetch

11.11.2007 19:36 12'048 CMD.EXE-087B4001.pf
11.11.2007 19:35 95'946 EXPLORER.EXE-082F38A9.pf
11.11.2007 19:31 59'578 NOTEPAD.EXE-336351A9.pf
11.11.2007 19:31 41'500 WMIPRVSE.EXE-28F301A9.pf
11.11.2007 19:28 137'914 IEXPLORE.EXE-2CA9778D.pf
11.11.2007 19:28 14'836 REALSCHED.EXE-0A2A7558.pf
11.11.2007 19:28 59'914 REALPLAY.EXE-14EA3547.pf
11.11.2007 19:24 35'198 USNSVC.EXE-1D8C2356.pf
11.11.2007 19:23 21'836 SVCHOST.EXE-3530F672.pf
11.11.2007 19:19 26'734 REGSVR32.EXE-25EEFE2F.pf
11.11.2007 19:18 83'078 MSIEXEC.EXE-2F8A8CAE.pf
11.11.2007 19:13 54'652 IPODSERVICE.EXE-233792DA.pf
11.11.2007 19:09 15'590 A~NSISU_.EXE-1765CC21.pf
11.11.2007 19:06 19'860 IMAPI.EXE-0BF740A4.pf
11.11.2007 19:05 19'328 RUNDLL32.EXE-451FC2C0.pf
11.11.2007 19:04 30'678 WKSCAL.EXE-28DC9075.pf
11.11.2007 19:04 61'618 CONTROL.EXE-013DBFB5.pf
11.11.2007 16:52 36'582 LOGONUI.EXE-0AF22957.pf
11.11.2007 15:55 64'574 EMPIRE EARTH.EXE-0D7D41D7.pf
11.11.2007 15:55 36'890 WUAUCLT.EXE-399A8E72.pf
11.11.2007 15:55 61'042 WGATRAY.EXE-0ED38BED.pf
11.11.2007 15:04 42'070 DRWTSN32.EXE-2B4B52AC.pf
11.11.2007 14:28 18'552 SNDVOL32.EXE-383480B7.pf
11.11.2007 14:10 89'766 RUNDLL32.EXE-2576181F.pf
11.11.2007 13:45 18'404 REGEDIT.EXE-1B606482.pf
11.11.2007 13:15 62'744 CSCRIPT.EXE-1C26180C.pf
11.11.2007 13:03 52'354 TASKMGR.EXE-20256C55.pf
11.11.2007 12:05 13'632 DUMPREP.EXE-1B46F901.pf
11.11.2007 11:28 21'850 CTFMON.EXE-0E17969B.pf
11.11.2007 11:28 25'698 SWEETIM.EXE-14A68AEB.pf
11.11.2007 11:28 17'082 ITUNESHELPER.EXE-08906EB7.pf
11.11.2007 11:28 90'350 MSNMSGR.EXE-091111D0.pf
11.11.2007 11:28 16'654 HKCMD.EXE-1D05234B.pf
11.11.2007 11:28 37'294 KAV.EXE-11190D55.pf
11.11.2007 11:28 19'104 IGFXTRAY.EXE-3391579A.pf
11.11.2007 11:28 9'680 QTTASK.EXE-2D7EEF34.pf
11.11.2007 11:28 19'082 NWIZ.EXE-2D0F9FBC.pf
11.11.2007 11:28 18'706 RUNDLL32.EXE-415F88EC.pf
10.11.2007 18:49 39'438 WINWORD.EXE-3395695A.pf
10.11.2007 10:43 24'382 RUNDLL32.EXE-277B527F.pf
09.11.2007 21:30 43'776 ACRORD32.EXE-0D601CD4.pf
08.11.2007 13:06 23'756 IGFXEXT.EXE-20973E2B.pf
06.11.2007 16:44 14'596 RUNDLL32.EXE-268BFF96.pf
05.11.2007 17:57 44'618 DISKCLEANER.EXE-1D9562E8.pf
05.11.2007 17:22 15'826 USERINIT.EXE-30B18140.pf
04.11.2007 18:58 64'784 HELPSVC.EXE-2878DDA2.pf
01.11.2007 14:18 36'074 UPDATEWIZARD.EXE-05E2AC1A.pf
26.10.2007 21:45 74'972 ITUNES.EXE-15E88941.pf
26.10.2007 21:05 48'338 OIS.EXE-33076924.pf
23.10.2007 16:27 73'762 SACRED.EXE-2124E165.pf
05.10.2007 20:14 60'920 WMPLAYER.EXE-09969338.pf
05.10.2007 18:22 14'612 WKCALREM.EXE-21E976E2.pf
05.10.2007 18:21 14'078 NCLAUNCH.EXE-00F85A64.pf
30.09.2007 11:42 64'572 HELPCTR.EXE-3862B6F5.pf
18.09.2007 05:50 13'368 UNINSTALL.EXE-15278D8E.pf
18.09.2007 05:48 73'502 RUNDLL32.EXE-3D97474F.pf
18.09.2007 05:39 18'798 _IU14D2N.TMP-3724A185.pf
18.09.2007 05:16 21'640 WAS7MON.EXE-0C4A88D4.pf
17.09.2007 16:30 32'622 NFSHP2.EXE-194DF34B.pf
17.09.2007 05:21 63'818 NERO.EXE-2031B565.pf
17.09.2007 05:21 70'568 NEROSTARTSMART.EXE-0A488AA3.pf
16.09.2007 12:08 16'764 RUNDLL32.EXE-24A4CEF3.pf
16.09.2007 11:32 32'718 IS-3S8N9.TMP-2C669B53.pf
16.09.2007 11:32 8'458 SDSETUP.EXE-290F744A.pf
16.09.2007 11:25 7'968 NMBGMONITOR.EXE-0BC10095.pf
16.09.2007 11:24 14'752 NMIndexStoreSvr.exe-1DBCF9FD.pf
16.09.2007 11:09 24'790 UNINSTALLMANAGER.EXE-18EBBC62.pf
16.09.2007 11:07 20'108 RUNDLL32.EXE-1706311D.pf
15.09.2007 18:20 24'296 RUNDLL32.EXE-176D2AAD.pf
15.09.2007 18:20 33'468 PATCH.EXE-082B01FD.pf
15.09.2007 18:19 23'602 EMPIRES2.EXE-1BDBD173.pf
15.09.2007 18:18 15'064 BX18DXV.DAT-1824D2CC.pf
15.09.2007 18:18 5'798 EDI.EXE-2B059947.pf
15.09.2007 18:18 8'352 MAIN_UNINSTALLER.EXE-0C7D4C1C.pf
15.09.2007 18:17 18'866 PATCH.EXE-0A02F0A5.pf
15.09.2007 18:17 22'218 MSINFO32.EXE-20B2F2A1.pf
15.09.2007 18:17 23'444 EMPIRES2.EXE-10321CD0.pf
15.09.2007 18:16 13'744 DMXMSL.EXE-2443857C.pf
15.09.2007 18:16 21'818 RUN.EXE-2AD53890.pf
15.09.2007 18:12 19'916 CLOKSPL.EXE-1A585A8C.pf
15.09.2007 18:10 20'324 AGE2UPA.EXE-1B6CABCE.pf
15.09.2007 17:57 39'572 EMULE.EXE-184A63F1.pf
15.09.2007 17:34 42'774 WINRAR.EXE-3588DFE8.pf
15.09.2007 17:33 34'706 RUNDLL32.EXE-407BDC0D.pf
15.09.2007 17:33 29'724 VOGGI15B.EXE-32496876.pf
15.09.2007 17:33 15'950 EMPIRES2.EXE-051D9883.pf
15.09.2007 17:31 38'084 WRAR370D.EXE-214DB72D.pf
14.09.2007 19:41 31'006 RUNDLL32.EXE-2F5D59DE.pf
14.09.2007 19:24 22'956 RUNDLL32.EXE-192B6AAD.pf
14.09.2007 18:43 14'624 SPEED2.EXE-03CBCA0A.pf
13.09.2007 17:33 18'058 REGSETUP.EXE-12185876.pf
13.09.2007 17:31 35'586 RUNDLL32.EXE-1DE49422.pf
13.09.2007 17:27 25'244 INSTALL.EXE-2F0C08A3.pf
13.09.2007 17:03 59'140 SETUP.EXE-2ACCD133.pf
13.09.2007 17:03 26'980 VVSNINST.EXE-1D37E5DD.pf
13.09.2007 15:42 8'046 UNINST.EXE-282AC0C1.pf
13.09.2007 15:41 16'662 RUNDLL32.EXE-23927463.pf
12.09.2007 16:44 20'214 SXUNINST.EXE-362E1CC5.pf
12.09.2007 16:43 33'106 WINACE.EXE-0E352790.pf
12.09.2007 16:38 41'020 KAVSVC.EXE-25477E30.pf
12.09.2007 16:38 20'492 ORDER.EXE-2C74FB2D.pf
12.09.2007 16:35 17'866 HELPINST.EXE-141D5862.pf
12.09.2007 16:34 20'198 WACE265I.EXE-36D2DF9F.pf
11.09.2007 17:05 20'486 RUNDLL32.EXE-175078EB.pf
11.09.2007 16:16 23'946 _REGDLL.TMP-0A21129B.pf
11.09.2007 16:16 14'050 RUNDLL32.EXE-13949869.pf
11.09.2007 16:16 15'508 UWAS7CW.EXE-11387A78.pf
11.09.2007 16:16 23'350 INSTHELP.EXE-0A78F876.pf
11.09.2007 16:16 22'454 WAS7.EXE-05249590.pf
11.09.2007 16:16 18'478 UNINS000.EXE-1609A2F4.pf
11.09.2007 16:12 14'184 RUNDLL32.EXE-250C7EFA.pf
11.09.2007 16:12 23'272 _REGDLL.TMP-12245B43.pf
11.09.2007 16:11 15'018 WINANTISPYWARE2007SETUP.EXE-13650307.pf
11.09.2007 16:11 41'256 SETUP.EXE-039228F2.pf
11.09.2007 16:11 47'512 IS-RCINH.TMP-06A21D6D.pf
11.09.2007 16:11 34'552 WINANTISPYWARE2007FREEINSTALL-1566F908.pf
11.09.2007 16:10 31'360 WINANTISPYWARE2007FREEINSTALL-2670372D.pf
11.09.2007 15:47 10'732 RUNDLL32.EXE-20C1A869.pf
11.09.2007 15:47 7'152 DAEMON.EXE-28AD7272.pf
09.09.2007 14:17 26'030 RUNDLL32.EXE-4728BEDE.pf
09.09.2007 12:05 22'248 KEYGEN.EXE-09140AFD.pf
09.09.2007 12:05 36'316 AGEOFEMPIRE2UK.ZIP.EXE-37CEB238.pf
09.09.2007 00:13 23'442 SWHELP~2.EXE-2C0D3ACB.pf
08.09.2007 23:44 28'572 RUNDLL32.EXE-1B7BD3B1.pf
08.09.2007 21:45 43'034 DFRGNTFS.EXE-269967DF.pf
08.09.2007 21:45 15'884 DEFRAG.EXE-273F131E.pf
08.09.2007 21:39 454'118 Layout.ini
08.09.2007 18:15 66'714 ACRORD32.EXE-0EC716D9.pf
07.09.2007 23:13 101'866 WMPLAYER.EXE-09969339.pf


----- Windows --------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS

11.11.2007 19:12 54'156 QTFont.qfn
11.11.2007 19:11 0 0.log
11.11.2007 19:11 1'201'611 WindowsUpdate.log
11.11.2007 19:11 2'048 bootstat.dat
11.11.2007 19:10 32'572 SchedLgU.Txt
11.11.2007 14:29 26 Lic.xxx
10.11.2007 22:09 5'466'826 REGBK00.ZIP
08.11.2007 13:06 116 NeroDigital.ini
08.11.2007 12:26 1'409 QTFont.for
04.11.2007 19:01 84 wininit.ini
29.10.2007 18:56 136'192 catchme.exe
02.10.2007 18:18 400 ODBC.INI
01.09.2007 17:26 832 QT$INST$.~32


----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\tasks

11.11.2007 19:11 6 SA.DAT
10.11.2007 10:45 276 AppleSoftwareUpdate.job


----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\WINDOWS\temp

11.11.2007 19:11 409 WGANotify.settings
11.11.2007 19:11 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 49'206'784'000 Bytes frei


Teil 2 folgt...

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist HDD
Volumeseriennummer: 40A4-1487

Verzeichnis von C:\DOKUME~1\USER\LOKALE~1\Temp

11.11.2007 19:36 129'332 filelist.txt
11.11.2007 19:36 0 BIT3D.tmp
11.11.2007 19:35 0 BIT35.tmp
11.11.2007 19:35 0 BIT34.tmp
11.11.2007 19:34 0 BIT2F.tmp
11.11.2007 19:30 0 BIT86.tmp
11.11.2007 19:30 0 BIT85.tmp
11.11.2007 19:30 0 BIT84.tmp
11.11.2007 19:30 0 BIT83.tmp
11.11.2007 19:30 0 BIT82.tmp
11.11.2007 19:30 0 BIT81.tmp
11.11.2007 19:30 0 BIT80.tmp
11.11.2007 19:30 0 BIT7F.tmp
11.11.2007 19:30 0 BIT7E.tmp
11.11.2007 19:30 0 BIT7D.tmp
11.11.2007 19:30 0 BIT7C.tmp
11.11.2007 19:30 0 BIT7B.tmp
11.11.2007 19:30 0 BIT7A.tmp
11.11.2007 19:30 388'090 BIT79.tmp
11.11.2007 19:29 0 BIT78.tmp
11.11.2007 19:29 0 BIT77.tmp
11.11.2007 19:29 0 BIT76.tmp
11.11.2007 19:29 0 BIT75.tmp
11.11.2007 19:29 0 BIT74.tmp
11.11.2007 19:29 0 BIT73.tmp
11.11.2007 19:29 0 BIT72.tmp
11.11.2007 19:29 0 BIT71.tmp
11.11.2007 19:29 0 BIT70.tmp
11.11.2007 19:29 0 BIT6F.tmp
11.11.2007 19:29 0 BIT6E.tmp
11.11.2007 19:29 0 BIT6D.tmp
11.11.2007 19:29 0 BIT6C.tmp
11.11.2007 19:29 0 BIT6B.tmp
11.11.2007 19:29 0 BIT6A.tmp
11.11.2007 19:29 0 BIT69.tmp
11.11.2007 19:29 0 BIT68.tmp
11.11.2007 19:29 0 BIT67.tmp
11.11.2007 19:29 0 BIT66.tmp
11.11.2007 19:29 0 BIT65.tmp
11.11.2007 19:29 0 BIT64.tmp
11.11.2007 19:29 0 BIT63.tmp
11.11.2007 19:29 0 BIT62.tmp
11.11.2007 19:29 0 BIT61.tmp
11.11.2007 19:29 0 BIT60.tmp
11.11.2007 19:29 0 BIT5F.tmp
11.11.2007 19:29 0 BIT5E.tmp
11.11.2007 19:29 0 BIT5D.tmp
11.11.2007 19:29 0 BIT5C.tmp
11.11.2007 19:29 0 BIT5B.tmp
11.11.2007 19:29 0 BIT5A.tmp
11.11.2007 19:29 0 BIT59.tmp
11.11.2007 19:29 0 BIT58.tmp
11.11.2007 19:29 0 BIT57.tmp
11.11.2007 19:29 388'090 BIT56.tmp
11.11.2007 19:28 0 BIT55.tmp
11.11.2007 19:28 0 BIT54.tmp
11.11.2007 19:28 0 BIT53.tmp
11.11.2007 19:28 0 BIT52.tmp
11.11.2007 19:28 0 BIT51.tmp
11.11.2007 19:28 0 BIT50.tmp
11.11.2007 19:28 0 BIT4F.tmp
11.11.2007 19:28 0 BIT4E.tmp
11.11.2007 19:27 0 BIT4D.tmp
11.11.2007 19:27 0 BIT4C.tmp
11.11.2007 19:27 0 BIT4B.tmp
11.11.2007 19:27 0 BIT4A.tmp
11.11.2007 19:27 0 BIT49.tmp
11.11.2007 19:27 0 BIT48.tmp
11.11.2007 19:27 0 BIT47.tmp
11.11.2007 19:27 0 BIT46.tmp
11.11.2007 19:26 0 BIT45.tmp
11.11.2007 19:26 0 BIT44.tmp
11.11.2007 19:26 0 BIT43.tmp
11.11.2007 19:26 0 BIT42.tmp
11.11.2007 19:26 0 BIT41.tmp
11.11.2007 19:26 0 BIT40.tmp
11.11.2007 19:26 0 BIT3F.tmp
11.11.2007 19:26 0 BIT3E.tmp
11.11.2007 19:25 0 BIT3C.tmp
11.11.2007 19:25 0 BIT3B.tmp
11.11.2007 19:25 0 BIT3A.tmp
11.11.2007 19:25 0 BIT39.tmp
11.11.2007 19:25 0 BIT38.tmp
11.11.2007 19:25 0 BIT37.tmp
11.11.2007 19:25 0 BIT36.tmp
11.11.2007 19:25 147'456 ~DF2698.tmp
11.11.2007 19:25 147'456 ~DF49E4.tmp
11.11.2007 19:24 0 BIT33.tmp
11.11.2007 19:24 0 BIT32.tmp
11.11.2007 19:24 16'384 ~DF2A53.tmp
11.11.2007 19:24 16'384 ~DF4A1A.tmp
11.11.2007 19:24 0 BIT31.tmp
11.11.2007 19:24 65'536 ~DF4321.tmp
11.11.2007 19:24 0 BIT30.tmp
11.11.2007 19:23 0 BIT2E.tmp
11.11.2007 19:23 0 BIT2D.tmp
11.11.2007 19:23 0 BIT2C.tmp
11.11.2007 19:23 0 BIT2B.tmp
11.11.2007 19:23 388'090 BIT2A.tmp
11.11.2007 19:21 395'708 Norton Setup 10,0,0 11-11-2007 19h14m0s.log
11.11.2007 19:20 654 srtUnin.log
11.11.2007 19:20 4'191 SNDunin.log
11.11.2007 19:20 8'758'442 Norton Internet Security 2007 11-11-2007 19h14m4s.log
11.11.2007 19:19 31'580 SYMEVENT.LOG
11.11.2007 19:18 172 CF_Register_Action.dat
11.11.2007 19:17 2'063 CLTDIST.log
11.11.2007 19:16 5'847 IDSinst.LOG
11.11.2007 19:15 2'534 PreScan.log
11.11.2007 19:08 30'664 Norton Setup 10,0,0 11-11-2007 19h8m3s.log
05.10.2007 20:21 0 BIT29.tmp
05.10.2007 20:15 1'328 wmplog01.sqm
30.09.2007 11:40 1'022 IMTAB.dtd
30.09.2007 11:40 2'794'308 IMTAA.xml
30.09.2007 11:40 798'234 IMTA9.xml
30.09.2007 11:40 426 IMTA8.xml
30.09.2007 11:40 2'036 IMTA7.xml
30.09.2007 11:40 16'384 ~DFBFF3.tmp
30.09.2007 11:35 798'234 IMT96.xml
30.09.2007 11:35 426 IMT95.xml
30.09.2007 11:35 2'036 IMT94.xml
30.09.2007 11:34 798'234 IMT6D.xml
30.09.2007 11:34 426 IMT6C.xml
30.09.2007 11:34 2'036 IMT6B.xml
30.09.2007 11:33 798'234 IMT60.xml
30.09.2007 11:33 426 IMT5F.xml
30.09.2007 11:33 2'036 IMT5E.xml
30.09.2007 11:32 798'234 IMT50.xml
30.09.2007 11:32 426 IMT4F.xml
30.09.2007 11:32 2'036 IMT4E.xml
30.09.2007 11:31 798'234 IMT4D.xml
30.09.2007 11:31 426 IMT4C.xml
30.09.2007 11:31 2'036 IMT4B.xml
30.09.2007 11:31 16'384 ~DFDD5A.tmp
30.09.2007 11:28 8'728 MPC97.tmp
30.09.2007 11:28 8'728 MPC33.tmp
29.09.2007 17:49 852 PrePict.htm
29.09.2007 17:39 25'214 datD.tmp
29.09.2007 17:37 25'214 datC.tmp
29.09.2007 17:37 25'214 datB.tmp
29.09.2007 17:29 1'272 wmplog00.sqm
29.09.2007 12:54 0 BIT28.tmp
28.09.2007 23:16 0 BIT27.tmp
28.09.2007 21:20 16'384 Perflib_Perfdata_8a0.dat
28.09.2007 19:56 512 ~DFC1E1.tmp
28.09.2007 19:56 147'456 ~DFBDBA.tmp
28.09.2007 19:56 512 ~DF6281.tmp
28.09.2007 19:56 147'456 ~DF6242.tmp
28.09.2007 19:14 147'456 ~DF7B08.tmp
28.09.2007 19:14 147'456 ~DFEC86.tmp
28.09.2007 19:14 16'384 ~DF7C68.tmp
28.09.2007 19:14 16'384 ~DFEF61.tmp
18.09.2007 16:24 0 BIT25.tmp
18.09.2007 15:46 0 BIT24.tmp
18.09.2007 15:46 85'946 BIT23.tmp
18.09.2007 15:45 0 BIT22.tmp
18.09.2007 15:45 0 BIT21.tmp
18.09.2007 15:45 0 BIT20.tmp
18.09.2007 15:45 0 BIT1F.tmp
18.09.2007 15:45 0 BIT2CC.tmp
18.09.2007 15:45 0 BIT15C.tmp
18.09.2007 15:45 0 BIT15B.tmp
18.09.2007 15:45 0 BIT1E.tmp
18.09.2007 15:45 0 BIT1D.tmp
18.09.2007 15:45 85'946 BIT1A.tmp
18.09.2007 15:44 0 BIT19.tmp
18.09.2007 15:44 0 BIT18.tmp
18.09.2007 15:44 0 BIT17.tmp
18.09.2007 15:44 0 BIT1C.tmp
18.09.2007 15:44 0 BIT1B.tmp
18.09.2007 15:44 0 BIT16.tmp
18.09.2007 15:44 0 BIT15.tmp
18.09.2007 15:44 0 BIT14.tmp
18.09.2007 15:44 0 BIT13.tmp
18.09.2007 05:58 8'728 MPC15.tmp
17.09.2007 05:43 512 ~DF21C8.tmp
17.09.2007 05:43 40'960 ~WRC0001.tmp
17.09.2007 05:41 512 ~DFCB53.tmp
17.09.2007 05:41 40'960 ~WRC0000.tmp
17.09.2007 05:40 512 ~DF55A2.tmp
17.09.2007 05:23 0 TempCover5
16.09.2007 19:33 0 TempCover4
16.09.2007 19:19 7'330 BCG20.tmp
16.09.2007 19:19 0 TempCover3
16.09.2007 18:15 0 BIT12.tmp
16.09.2007 18:07 0 BIT10.tmp
16.09.2007 17:58 0 BITE.tmp
16.09.2007 17:53 512 ~DF59DA.tmp
16.09.2007 17:53 147'456 ~DF4F71.tmp
16.09.2007 17:52 512 ~DF5577.tmp
16.09.2007 17:52 147'456 ~DF5547.tmp
16.09.2007 17:51 0 BITD.tmp
16.09.2007 17:49 0 BITC.tmp
16.09.2007 17:42 512 ~DFA936.tmp
16.09.2007 17:42 147'456 ~DFA87C.tmp
16.09.2007 17:42 147'456 ~DFDF48.tmp
16.09.2007 17:42 512 ~DFDF59.tmp
16.09.2007 17:34 512 ~DF4D24.tmp
16.09.2007 17:34 147'456 ~DF4B53.tmp
16.09.2007 17:33 512 ~DFEF42.tmp
16.09.2007 17:33 147'456 ~DFE125.tmp
16.09.2007 17:31 0 BITA.tmp
16.09.2007 17:22 512 ~DF8916.tmp
16.09.2007 17:22 147'456 ~DF88FC.tmp
16.09.2007 17:22 147'456 ~DF5690.tmp
16.09.2007 17:22 512 ~DF56A8.tmp
16.09.2007 17:22 0 BITF.tmp
16.09.2007 17:20 0 BIT9.tmp
16.09.2007 17:11 0 BIT8.tmp
16.09.2007 17:10 0 BIT5.tmp
16.09.2007 17:10 0 BIT4.tmp
16.09.2007 17:07 0 BIT7.tmp
16.09.2007 11:59 512 ~DF6981.tmp
16.09.2007 11:59 147'456 ~DF6712.tmp
16.09.2007 11:59 512 ~DF24B4.tmp
16.09.2007 11:59 147'456 ~DF218B.tmp
16.09.2007 11:58 85'946 BIT3.tmp
16.09.2007 11:48 512 ~DF193F.tmp
16.09.2007 11:48 147'456 ~DF1923.tmp
16.09.2007 11:48 512 ~DFA443.tmp
16.09.2007 11:48 147'456 ~DFA40F.tmp
16.09.2007 11:47 0 BIT2.tmp
16.09.2007 11:42 512 ~DFEB4.tmp
16.09.2007 11:42 147'456 ~DFE88.tmp
16.09.2007 11:42 512 ~DF61C7.tmp
16.09.2007 11:42 147'456 ~DF61A8.tmp
16.09.2007 11:39 0 BIT6.tmp
16.09.2007 11:28 16'384 ~DF4E01.tmp
16.09.2007 11:28 147'456 ~DF4DEF.tmp
16.09.2007 11:28 147'456 ~DF7F77.tmp
16.09.2007 11:28 16'384 ~DF84A8.tmp
16.09.2007 11:13 0 BIT11.tmp
16.09.2007 11:13 0 BIT1.tmp
16.09.2007 11:13 0 BITB.tmp
15.09.2007 17:57 65'536 ~DF8FCF.tmp
15.09.2007 17:33 131'072 ~DFB674.tmp
15.09.2007 17:33 131'072 ~DF815C.tmp
15.09.2007 17:33 131'072 ~DF7337.tmp
15.09.2007 17:33 131'072 ~DF5DE0.tmp
15.09.2007 17:33 36'182 TFR88.tmp
15.09.2007 17:33 31'038 TFR81.tmp
15.09.2007 17:33 28'671 TFR84.tmp
15.09.2007 17:33 50'420 TFR7C.tmp
15.09.2007 17:33 46'021 TFR74.tmp
15.09.2007 17:33 13'357 TFR78.tmp
15.09.2007 17:33 46'660 TFR71.tmp
15.09.2007 17:33 59'218 TFR6C.tmp
15.09.2007 17:33 67'560 TFR69.tmp
15.09.2007 17:33 21'122 TFR61.tmp
15.09.2007 17:33 27'777 TFR64.tmp
15.09.2007 17:33 67'994 TFR5C.tmp
15.09.2007 17:33 23'427 TFR59.tmp
15.09.2007 17:33 56'657 TFR50.tmp
15.09.2007 17:33 35'574 TFR4F.tmp
15.09.2007 17:33 32'204 TFR55.tmp
15.09.2007 17:33 10'225 TFR4B.tmp
15.09.2007 17:33 71'682 TFR47.tmp
15.09.2007 17:33 20'560 TFR43.tmp
15.09.2007 17:33 14'747 TFR39.tmp
15.09.2007 17:33 58'223 TFR35.tmp
15.09.2007 17:33 96'843 TFR38.tmp
15.09.2007 17:33 85'384 TFR33.tmp
15.09.2007 17:33 31'985 TFR32.tmp
15.09.2007 17:33 12'473 TFR30.tmp
15.09.2007 17:33 25'476 TFR2D.tmp
15.09.2007 17:33 31'985 TFR20.tmp
15.09.2007 17:33 34'800 TFR1E.tmp
15.09.2007 17:33 44'093 TFR17.tmp
15.09.2007 17:33 14'232 TFR13.tmp
15.09.2007 17:33 8'509 TFR11.tmp
15.09.2007 17:33 40'950 TFR10.tmp
15.09.2007 17:33 107'512 Set92.tmp
15.09.2007 17:33 41'472 Set106.tmp
15.09.2007 17:33 25'214 dat10C.tmp
15.09.2007 17:33 25'214 dat109.tmp
15.09.2007 17:33 25'214 dat10B.tmp
15.09.2007 17:33 25'214 dat10A.tmp
15.09.2007 17:33 25'214 dat108.tmp
15.09.2007 17:33 25'214 dat107.tmp
12.09.2007 16:43 22 KPZA6.tmp
12.09.2007 16:41 36 TemA5.tmp
12.09.2007 16:41 36 TemA4.tmp
12.09.2007 13:39 113 DFC5A2B2.TMP
07.09.2007 23:11 512 ~DF7362.tmp
07.09.2007 23:11 512 ~DFBCF9.tmp
06.09.2007 17:59 1'579 TFR31.tmp
06.09.2007 17:59 1'477 TFR2F.tmp
06.09.2007 17:59 1'374 TFR2E.tmp
06.09.2007 17:58 2'982 TFR2C.tmp
06.09.2007 17:58 1'939 TFR2B.tmp
06.09.2007 17:58 1'765 TFR2A.tmp
06.09.2007 17:58 2'500 TFR29.tmp
06.09.2007 17:58 1'238 TFR28.tmp
06.09.2007 17:58 2'737 TFR27.tmp
06.09.2007 17:58 2'196 TFR26.tmp
06.09.2007 17:57 1'114 TFR25.tmp
06.09.2007 17:57 1'661 TFR24.tmp
06.09.2007 17:57 1'715 TFR23.tmp
06.09.2007 17:57 902 TFR22.tmp
06.09.2007 17:57 1'114 TFR21.tmp
06.09.2007 17:56 1'765 TFR1F.tmp
06.09.2007 17:56 1'741 TFR1D.tmp
01.09.2007 16:32 40'448 CmdLineExt03.dll


OK, das war mal Filelist, Silentrunners folgt

So und hier noch Silent Runners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"NCLaunch" = "C:\WINDOWS\NCLAUNCH.EXe" ["Northcode Inc."]
"SweetIM" = "C:\Programme\Macrogaming\SweetIM\SweetIM.exe" ["MacroGaming LTD."]
"msnmsgr" = "~"C:\Programme\MSN Messenger\msnmsgr.exe" /background" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"IgfxTray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"HotKeysCmds" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"SweetIM" = "C:\Programme\Macrogaming\SweetIM\SweetIM.exe" ["MacroGaming LTD."]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"IS CfgWiz" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cfgwiz.exe" /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"" ["Symantec Corporation"]
"osCheck" = ""C:\Programme\Norton Internet Security\osCheck.exe"" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2004\sdshelex.dll"" ["TuneUp Software GmbH"]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\rpshell.dll" ["RealNetworks, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> igfxcui\DLLName = "igfxsrvc.dll" ["Intel Corporation"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~1\NORTON~1\NavShExt.dll" ["Symantec Corporation"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableTaskMgr" = (REG_DWORD) hex:0x00000001
{User Configuration|Administrative Templates|System|Ctrl+Alt+Del Options|
Remove Task Manager}

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Privacy Protection"
"Source" = "file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL" = ""


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\BEANSC~1.SCR" (BeanScreen3.scr) ["ScreenTime Media"]


Startup items in "USER" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\USER\Startmenü\Programme\Autostart
"wkcalrem" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe" ["Microsoft® Corporation"]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -task" ["Apple Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{90222687-F593-4738-B738-FBEE9C7B26DF}" = "NCO Toolbar"
-> {HKLM...CLSID} = "Show Norton Toolbar"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll" ["Symantec Corporation"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Automatic LiveUpdate Scheduler, Automatic LiveUpdate Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\MSN Messenger\usnsvc.exe"" [MS]
Symantec AppCore Service, SymAppCore, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe"" ["Symantec Corporation"]
Symantec Core LC, Symantec Core LC, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-11-11 19:42:46)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 51 seconds, including 10 seconds for message boxes)


LG (...und auch wenn noch nicht ganz fertig, vielen Dank )