2. Benutzerkonto als Administrator

T_Luke · 18.03.2008, 15:27

Hallo...Warum auch immer habe ich ein neues Benutzerkonto als Administrator festgestellt.

Gestern morgen wurde mein taskmanager durch den Administrator deaktiviert.
1 min spaeter nachdem ich es bemerkt hatte fuhr der rechner sich neu hoch.
Die folgen sind jetzt einstellungen werden nicht mehr uebernommen. Heisst soviel wie egal wo ich uebernehmen klicke wird nix gespeichert. Meine tastatur ist auf english gestellt. Downloads ausm inet koennen nich mehr gestartet werden (seite soll nich erreichbar sein. Aber nur beim download)
Hab es geschafft dem neuen benutzerkonto ein pw zu geben loeschen wa zu dem zeitpunkt NICHT moeglich. Selbst im abgesicherten modus war das loeschen von dem neuen konto NICHT moeglich. Konnte aber 2 datein loeschen im abgesicherten modus die mein Anti virus (Kaspersky) nicht bearbeiten konnte. Nach dem loeschen der 2 datein hab ich es erstmal geschafft dass neue konto zu loeschen. Es sind aber noch 2 datein da die ich aber nicht sehn kann weil sie versteckt sind. Kann sie auch nich loeschen aus dem grund dass meine einstellungen NICHT uebernommen werden kann versteckte datein/ordner nicht sichtbar machen. Habe auch eine modifikation festgestellt bei meinem inet explorer(neue toolbar)
Remove Popups..Scan Spyware..Security Test..Spam Protection.

Soo...

Icq.exe is dass einzige was noch teilweise geht.

Msn.exe wird garnicht mehr gestartet!

Steam.exe

Runtime Error! Program: C:\Programme\Steam\Steam.exe

This application has requested the Runtime to terminate it in an unusual way.Please contact the application´s support team for more information

Soo... Wenn mir jetzt wer ein paar wertvolle Tipps geben kann weare ich dankbar. Allein schon aus dem grund weil ich das schreiben mit einstellung english...naja

Thx,
MFG.
Luke.

Sabina · 18.03.2008, 15:29

Hallo,

der Rechner "gehört " schon nicht mehr dir...wurde von einem Hacker gekapert, er macht nun, was er will damit.
Formatiere so schnell als möglich.

ich kenne da einen User, der sah vor seinen Augen, wie sich wie von Geisteshand der Browser öffnete, Pornoseiten geöffnet wurden... Ja, da ist nix zu machen, du hast entweder unbewusst einen Trojaner geladen oder sie sind über schwache Kennworte auf deinen PC gelangt.

inzwischen kennen sie auch dein XP-Code von MS - es kann nun Schwierigkeiten mit den Windowsupdates geben nach Neuaufsetzen. (falls du ein legales XP hast)
Gleiches gilt fuer deine Passworte + Mails usw...
Die haben alles, wissen alles, sie sitzen vor dem Bildschirm und sehen, was du auch siehst.

T_Luke · 18.03.2008, 15:47

Wie gesagt mometan bin ich der Administrator. Konnte dass neue konto loeschen und auch 2 von den 4 viren. Habe Kaspersky IS neuste version (Legal).Windows (Legal) Gibt es nich einen befehl um meine versteckten datein/ordner sichtbar zu machen?

Sabina · 18.03.2008, 15:48

poste mal das log von Combofix
combofix

dann lade:tcpview + poste den report
TCPView for Windows

T_Luke · 18.03.2008, 15:54

Wie gesagt mometan bin ich der Administrator. Konnte dass neue konto loeschen und auch 2 von den 4 viren. Habe Kaspersky IS neuste version (Legal).Windows (Legal) Gibt es nich einen befehl um meine versteckten datein/ordner sichtbar zu machen?

Sabina · 18.03.2008, 16:01

ja nun, ich will die logs sehen, deren Links ich dir gepostet habe... dann sehen wir weiter

(bin wahrscheinlich erst heute abend wieder online)

T_Luke · 18.03.2008, 16:07

Zitat:

Zitat von Sabina

ja nun, ich will die logs sehen, deren Links ich dir gepostet habe... dann sehen wir weiter

(bin wahrscheinlich erst heute abend wieder online)

Das glaub ich dir ja. Aber ich kann es nicht runterladen bin zwar admin aber die sachen die umgestellt wurden auf meinem pc muss ich erstmal wieder zuruecksetzten. Davor kann ich keinen download starten.

T_Luke · 18.03.2008, 17:26

ComboFix 08-03-17.1 - *** 18.03.2008 17:00:09.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ\437768445\ReceivedFiles\482148732 Bonzai\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\rs.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-18 bis 2008-03-18 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-18 16:06 22,883,872 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-18 16:05 874,784 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-18 13:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-18 12:58 --------- d-----w C:\Programme\Warcraft III
2008-03-17 22:28 82,700 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-17 22:28 306,932 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-17 22:24 --------- d-----w C:\DOKUME~1\***\ANWEND~1\Hamachi
2008-03-17 21:38 --------- d-----w C:\Programme\Hamachi
2008-03-17 21:37 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-17 13:39 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-17 12:11 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-17 09:13 --------- d-----w C:\Programme\Steam
2008-03-17 07:07 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2008-03-17 04:18 94,208 ----a-w C:\WINDOWS\fmsxwqs.exe
2008-03-17 04:18 266,240 ----a-w C:\WINDOWS\bokpkov.dll
2008-03-17 04:18 253,952 ----a-w C:\WINDOWS\drnpfdxxsn.dll
2008-03-17 04:18 241,664 ----a-w C:\WINDOWS\altvxvm.dll
2008-03-17 04:18 204,800 ----a-w C:\WINDOWS\etlrlws.dll
2008-03-16 20:35 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-03-16 02:36 --------- d-----w C:\Programme\Diablo II
2008-03-13 03:23 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-03-13 03:23 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-03-13 03:23 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-03-13 03:13 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-03-06 17:52 --------- d-----w C:\DOKUME~1\***\ANWEND~1\teamspeak2
2008-03-03 21:28 --------- d-----w C:\DOKUME~1\***\ANWEND~1\BearShare
2008-03-02 01:53 --------- d-----w C:\Programme\ICQ6
2008-03-01 14:37 --------- d-----w C:\Programme\Windows Live Safety Center
2008-02-26 09:31 --------- d-----w C:\DOKUME~1\***\ANWEND~1\HLSW
2008-02-23 11:51 --------- d-----w C:\DOKUME~1\***\ANWEND~1\uTorrent
2008-02-18 22:29 --------- d-----w C:\Programme\SFT Loader 2007
2008-02-17 23:18 --------- d-----w C:\DOKUME~1\***\ANWEND~1\Ventrilo
2008-02-13 01:38 --------- d-s---w C:\Programme\HLSW
2008-02-10 05:50 --------- d-----w C:\Programme\DivX
2008-01-30 21:21 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-01-18 18:08 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2007-12-08 12:48 34,552 ----a-w C:\Programme\uninstall.exe
2007-11-21 12:17 913,064 ----a-w C:\Programme\fraps.exe
2007-11-21 12:15 167,936 ----a-w C:\Programme\fraps.dll
2007-11-21 12:15 135,168 ----a-w C:\Programme\frapslcd.dll
2007-11-21 12:15 111,616 ----a-w C:\Programme\fraps64.dll
2007-11-21 12:15 1,684,480 ----a-w C:\Programme\fraps64.dat
2007-11-21 09:35 12,588 ----a-w C:\Programme\changes.txt
2007-11-21 09:29 1,841 ----a-w C:\Programme\README.HTM
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E919A377-7B3B-4737-B6E1-38930F9B4256}]
17.03.2008 05:18 253952 --a------ C:\WINDOWS\drnpfdxxsn.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1AA3E3E1-2FAD-4FE8-B7F4-296597F3CC92}"= "C:\WINDOWS\etlrlws.dll" [17.03.2008 05:18 204800]

[HKEY_CLASSES_ROOT\clsid\{1aa3e3e1-2fad-4fe8-b7f4-296597f3cc92}]
[HKEY_CLASSES_ROOT\etlrlws.1]
[HKEY_CLASSES_ROOT\TypeLib\{FB180DA7-1ACD-4B7B-8D47-57E0ECEA2767}]
[HKEY_CLASSES_ROOT\etlrlws]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [10.06.2004 13:48 286720]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [11.04.2007 15:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [28.06.2007 11:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [28.02.2006 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"altvxvm"= {57AD4CC3-9B8B-4320-B50D-093C9C00E8F1} - C:\WINDOWS\altvxvm.dll [17.03.2008 05:18 241664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
--a------ 28.06.2007 11:51 218376 C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
--a------ 15.10.2002 17:00 1818624 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 16.08.2007 12:24 167368 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 19.01.2007 11:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 03.12.2007 13:30 1266936 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 25.09.2007 00:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 14.05.2007 23:22 35328 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Steam\\steamapps\\***\\counter-strike\\hl.exe"=
"C:\\Programme\\Valve\\hl.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\HLSW\\hlsw.exe"=
"C:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 17:06:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 18.03.2008 17:08:24
ComboFix-quarantined-files.txt 2008-03-18 16:07:17
.
2008-03-12 22:42:43 --- E O F ---

Franz1968 · 18.03.2008, 17:27

Zitat:

Zitat von T_Luke

Gibt es nich einen befehl um meine versteckten datein/ordner sichtbar zu machen?

Klick

edit: Sorry, falscher Link

T_Luke · 21.03.2008, 07:55

Hallo.

Sind jetzt schon ein paar tage wieder vergangen.(log is da)
Konnte den virus noch nicht löschen... Habs bisher geschafft das ich der Administrator bin zu 100%.
Bloß kann mein antivir (Kaspersky) den virus immmernoch nicht löschen.
Und ich wüsste auch nich was ich noch machen kann.
Rechner hab ich soweit hinbekommen das downloads wieder gehn setupeinstellungen wieder übernommen werden(können), (neue) toolbar konnte ich entfernen.

Log bitte anschaun und sagen was wo nich hingehört oder was komplett neu is.

Thx.
MfG,
Luke

Sabina · 21.03.2008, 10:49

Hallo,

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Code:

ATTFilter

KILLALL:: 

Registry:: 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E919A377-7B3B-4737-B6E1-38930F9B4256}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1AA3E3E1-2FAD-4FE8-B7F4-296597F3CC92}"=-
[-HKEY_CLASSES_ROOT\clsid\{1aa3e3e1-2fad-4fe8-b7f4-296597f3cc92}]
[-HKEY_CLASSES_ROOT\etlrlws.1]
[-HKEY_CLASSES_ROOT\TypeLib\{FB180DA7-1ACD-4B7B-8D47-57E0ECEA2767}]
[-HKEY_CLASSES_ROOT\etlrlws]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"altvxvm"=-

File:: 
C:\WINDOWS\fmsxwqs.exe
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\drnpfdxxsn.dll
C:\WINDOWS\altvxvm.dll
C:\WINDOWS\etlrlws.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

PC neustarten

----------------------------------

poste das neue Log von Combofix

T_Luke · 21.03.2008, 14:45

Habe ich gemacht kann aus eigenem wissen schon sagen dass die datei

etlrlws.dll im log die neue toolbar war.(is jetzt komplett weg)danke.

ComboFix 08-03-17.1 - Nummer2 2008-03-21 14:15:49.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ\437768445\ReceivedFiles\482148732 Bonzai\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***\Eigene Dateien\ICQ\437768445\ReceivedFiles\482148732 Bonzai\cfscript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\altvxvm.dll
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\drnpfdxxsn.dll
C:\WINDOWS\etlrlws.dll
C:\WINDOWS\fmsxwqs.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\altvxvm.dll
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\etlrlws.dll
C:\WINDOWS\fmsxwqs.exe
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\rs.txt

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-21 bis 2008-03-21 ))))))))))))))))))))))))))))))
.

2008-03-21 14:25 . 2008-03-21 14:25 6,736 --a------ C:\WINDOWS\system32\drivers\PROCEXP90.SYS
2008-03-20 17:33 . 2008-03-20 17:34 <DIR> d-------- C:\Programme\MSN Messenger
2008-03-20 17:20 . 2008-03-20 17:20 208 --ah----- C:\sqmdata19.sqm
2008-03-20 17:20 . 2008-03-20 17:20 172 --ah----- C:\sqmnoopt19.sqm
2008-03-20 17:17 . 2008-03-20 17:17 244 --ah----- C:\sqmnoopt18.sqm
2008-03-20 17:17 . 2008-03-20 17:17 244 --ah----- C:\sqmdata18.sqm
2008-03-20 17:07 . 2008-03-20 17:07 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\vlc
2008-03-20 15:19 . 2008-03-20 15:20 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-03-20 14:55 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-20 14:42 . 2008-03-20 14:55 <DIR> d-------- C:\Programme\Java
2008-03-20 14:40 . 2008-03-20 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-20 14:17 . 2008-03-20 14:17 256 --ah----- C:\sqmdata17.sqm
2008-03-20 14:17 . 2008-03-20 14:17 244 --ah----- C:\sqmnoopt17.sqm
2008-03-20 14:02 . 2008-03-21 14:32 <DIR> d-------- C:\Programme\steam
2008-03-20 13:57 . 2008-03-20 13:57 <DIR> d-------- C:\Programme\CCleaner
2008-03-20 12:28 . 2008-03-20 12:28 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\.exe
2008-03-20 11:22 . 2008-03-20 11:22 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\Anwendungsdaten\teamspeak2
2008-03-20 09:14 . 2008-03-20 09:14 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\Anwendungsdaten\Logitech
2008-03-20 09:13 . 2008-03-20 14:12 <DIR> dr------- C:\Dokumente und Einstellungen\Nummer2\Eigene Dateien
2008-03-20 09:12 . 2007-10-16 22:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Vorlagen
2008-03-20 09:12 . 2007-10-16 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\Nummer2\Startmen
2008-03-20 09:12 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Netzwerkumgebung
2008-03-20 09:12 . 2008-03-20 10:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Lokale Einstellungen
2008-03-20 09:12 . 2008-03-21 10:43 <DIR> dr------- C:\Dokumente und Einstellungen\Nummer2\Favoriten
2008-03-20 09:12 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Druckumgebung
2008-03-20 09:12 . 2008-03-21 10:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Nummer2\Anwendungsdaten
2008-03-20 09:09 . 2008-03-20 09:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-20 09:08 . 2007-10-16 22:23 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-20 09:08 . 2007-10-16 23:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-17 15:41 . 2008-03-17 15:41 244 --ah----- C:\sqmnoopt16.sqm
2008-03-17 15:41 . 2008-03-17 15:41 232 --ah----- C:\sqmdata16.sqm
2008-03-17 14:29 . 2008-03-17 14:29 244 --ah----- C:\sqmnoopt15.sqm
2008-03-17 14:29 . 2008-03-17 14:29 232 --ah----- C:\sqmdata15.sqm
2008-03-17 13:09 . 2008-03-17 13:09 244 --ah----- C:\sqmnoopt14.sqm
2008-03-17 13:09 . 2008-03-17 13:09 232 --ah----- C:\sqmdata14.sqm
2008-03-17 12:47 . 2008-03-17 12:47 244 --ah----- C:\sqmnoopt13.sqm
2008-03-17 12:47 . 2008-03-17 12:47 232 --ah----- C:\sqmdata13.sqm
2008-03-17 12:39 . 2008-03-17 12:39 244 --ah----- C:\sqmnoopt12.sqm
2008-03-17 12:39 . 2008-03-17 12:39 232 --ah----- C:\sqmdata12.sqm
2008-03-17 07:24 . 2008-03-17 08:07 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-03-17 07:24 . 2008-03-17 09:42 75,779 --a------ C:\WINDOWS\War3Unin.dat
2008-03-17 07:24 . 2008-03-17 08:07 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-03-17 07:16 . 2008-03-21 09:53 <DIR> d-------- C:\Programme\Warcraft III
2008-03-07 19:43 . 2008-03-20 09:04 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-03-07 19:29 . 2008-03-13 04:23 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2008-03-07 19:29 . 2008-03-13 04:23 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2008-03-07 19:29 . 2008-03-13 04:23 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2008-03-07 19:06 . 2008-03-20 13:42 <DIR> d-------- C:\Programme\Diablo II
2008-03-07 05:23 . 2008-03-07 05:23 921,624 --a------ C:\img1-001.raw
2008-03-05 18:41 . 2008-03-05 18:41 <DIR> d-------- C:\WINDOWS\program files

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-21 13:33 23,706,400 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-21 13:32 921,120 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-21 13:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-21 13:28 87,332 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-21 13:28 318,044 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-20 15:36 --------- d-----w C:\Programme\VideoLAN
2008-03-20 12:38 --------- d-----w C:\Programme\SFT Loader 2007
2008-03-20 12:37 --------- d-----w C:\Programme\Sony
2008-03-20 12:24 --------- d-----w C:\Programme\Valve
2008-03-20 12:06 --------- d-----w C:\Programme\DivX
2008-03-20 12:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-20 11:41 --------- d-s---w C:\Programme\HLSW
2008-03-17 21:37 16,224 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-17 12:11 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-01 14:37 --------- d-----w C:\Programme\Windows Live Safety Center
2008-01-30 21:21 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat
.

((((((((((((((((((((((((((((( snapshot@18.03.2008_17.06.58,45 )))))))))))))))))))))))))))))))))))))))))
.
- 2006-12-19 21:49:40 8,494,592 -c----w C:\WINDOWS\$NtUninstallKB943460$\shell32.dll
- 2007-08-21 10:53:25 123,904 -c----w C:\WINDOWS\$NtUninstallKB943460$\xpsp3res.dll
+ 2006-12-19 21:49:40 8,494,592 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\shell32.dll
+ 2007-03-06 01:14:13 217,312 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\spuninst\spuninst.exe
+ 2007-03-06 01:15:22 377,568 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\spuninst\updspapi.dll
+ 2007-08-21 10:53:25 123,904 -c----w C:\WINDOWS\$NtUninstallKB943460_0$\xpsp3res.dll
- 2007-10-16 22:36:50 27,648 ----a-r C:\WINDOWS\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C91.exe
+ 2008-03-20 13:02:02 27,648 ----a-r C:\WINDOWS\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C91.exe
+ 2008-03-20 13:11:47 29,926 ----a-r C:\WINDOWS\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe
+ 2008-03-20 16:34:36 29,926 ----a-r C:\WINDOWS\Installer\{8DCBD4B1-DD30-4A9A-ADF7-FA3162B596C4}\MsblIco.Exe
+ 2006-06-02 19:31:05 33,792 ------w C:\WINDOWS\network diagnostic\custsat.dll
+ 2006-10-10 12:44:50 557,568 ------w C:\WINDOWS\network diagnostic\xpnetdiag.exe
- 2008-01-22 15:57:11 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-20 10:54:09 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-22 15:57:11 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-20 10:54:09 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-01-22 15:57:11 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-20 10:54:09 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2006-02-28 12:00:00 28,672 -c--a-w C:\WINDOWS\system32\dllcache\custsat.dll
+ 2006-06-02 19:31:05 33,792 -c--a-w C:\WINDOWS\system32\dllcache\custsat.dll
- 2007-10-25 16:55:09 8,495,616 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll
+ 2007-10-25 16:42:48 8,501,248 -c--a-w C:\WINDOWS\system32\dllcache\shell32.dll
- 2006-02-28 12:00:00 49,152 -c--a-w C:\WINDOWS\system32\dllcache\wdigest.dll
+ 2006-03-24 04:37:55 49,152 -c--a-w C:\WINDOWS\system32\dllcache\wdigest.dll
+ 2006-06-29 07:05:44 26,112 ------w C:\WINDOWS\system32\idndl.dll
- 2007-09-24 20:30:28 135,168 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-02-22 00:23:35 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-09-24 20:30:30 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-02-22 00:23:39 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2007-09-24 21:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2008-02-22 01:33:32 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2006-06-28 16:59:26 24,576 ------w C:\WINDOWS\system32\nlsdl.dll
+ 2006-06-29 07:05:44 23,552 ------w C:\WINDOWS\system32\normaliz.dll
- 2008-01-05 20:58:04 88,738 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-03-20 12:05:27 88,738 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-01-05 20:58:04 74,100 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-03-20 12:05:27 74,100 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-01-05 20:58:04 445,914 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-03-20 12:05:27 445,914 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-01-05 20:58:04 428,092 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-03-20 12:05:28 428,092 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-10-25 16:55:09 8,495,616 ----a-w C:\WINDOWS\system32\shell32.dll
+ 2007-10-25 16:42:48 8,501,248 ----a-w C:\WINDOWS\system32\shell32.dll
- 2007-01-19 10:53:04 51,056 ----a-w C:\WINDOWS\system32\sirenacm.dll
+ 2006-07-29 18:32:50 48,936 ----a-w C:\WINDOWS\system32\sirenacm.dll
- 2006-02-28 12:00:00 49,152 ----a-w C:\WINDOWS\system32\wdigest.dll
+ 2006-03-24 04:37:55 49,152 ----a-w C:\WINDOWS\system32\wdigest.dll
+ 2006-07-14 15:51:51 121,856 ------w C:\WINDOWS\system32\xmllite.dll
- 2007-10-29 15:35:14 123,904 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2007-10-29 15:07:16 373,760 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2008-03-21 13:30:23 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_7dc.dat
- 2006-06-05 12:14:28 479,232 -c--a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll
+ 2006-06-05 13:14:28 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll
- 2006-06-05 12:14:28 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll
+ 2006-06-05 13:14:28 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll
- 2006-06-05 12:14:28 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll
+ 2006-06-05 13:14:28 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\steam\steam.exe" [2008-03-20 14:03 1266936]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2006-07-29 19:33 5354792]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2004-06-10 13:48 286720]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 11:51 218376]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP]
--a------ 2007-06-28 11:51 218376 C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
--a------ 2002-10-15 17:00 1818624 C:\WINDOWS\mixer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-08-16 12:24 167368 C:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2006-07-29 19:33 5354792 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-03-20 14:03 1266936 C:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-14 23:22 35328 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Steam\\steamapps\\***\\counter-strike\\hl.exe"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\Steam\\Steam.exe"=
"C:\\Programme\\Warcraft III\\Warcraft III.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\msncall.exe"=

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 14:32:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-21 14:39:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-21 13:38:41
ComboFix2.txt 2008-03-18 16:08:25
.
2008-03-12 22:42:43 --- E O F ---

Sabina · 21.03.2008, 14:50

Hallo,

1.
otmoveIt anwenden
OTMoveIt by OldTimer

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:

ATTFilter

C:\Dokumente und Einstellungen\Nummer2\.exe

Klicke auf den Roten MoveIt!
poste hier das Löschlog

---------------------------------------------------------

2.
wende sdfix an - muss im abgesicherten Modus sein - poste hier den report
SDFix

«

T_Luke · 21.03.2008, 16:15

Einmal.

OTMoveIt2.

C:\Dokumente und Einstellungen\Nummer2\.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03212008_161203

Anderes folgt.

MfG.
Luke

T_Luke · 21.03.2008, 16:46

SDFix.

SDFix: Version 1.159

Run by Nummer2 on 2008-03-21 at 16:25

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 16:32:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:ca,67,aa,e9,a6,1e,c2,3e,a0,84,0b,14,70,44,7f,34,1a,53,18,7e,3c,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2e,ad,d8,6a,c7,8a,ec,df,da,34,71,25,0e,a9,0f,91,40,..
"khjeh"=hex:05,3b,78,d2,77,b7,48,cb,8e,b8,ea,86,9d,02,b4,7e,05,84,1c,e3,ab,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:44,1a,c8,03,c0,0a,6b,f8,ea,0b,69,84,a3,02,57,3f,f4,8c,ce,02,75,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:ca,67,aa,e9,a6,1e,c2,3e,a0,84,0b,14,70,44,7f,34,1a,53,18,7e,3c,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2e,ad,d8,6a,c7,8a,ec,df,da,34,71,25,0e,a9,0f,91,40,..
"khjeh"=hex:05,3b,78,d2,77,b7,48,cb,8e,b8,ea,86,9d,02,b4,7e,05,84,1c,e3,ab,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:44,1a,c8,03,c0,0a,6b,f8,ea,0b,69,84,a3,02,57,3f,f4,8c,ce,02,75,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:ca,67,aa,e9,a6,1e,c2,3e,a0,84,0b,14,70,44,7f,34,1a,53,18,7e,3c,..
"p0"="C:\Programme\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2e,ad,d8,6a,c7,8a,ec,df,da,34,71,25,0e,a9,0f,91,40,..
"khjeh"=hex:05,3b,78,d2,77,b7,48,cb,8e,b8,ea,86,9d,02,b4,7e,05,84,1c,e3,ab,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:44,1a,c8,03,c0,0a,6b,f8,ea,0b,69,84,a3,02,57,3f,f4,8c,ce,02,75,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Programme\\Steam\\steamapps\\***\\counter-strike\\hl.exe"="C:\\Programme\\Steam\\steamapps\\vn_luke\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="C:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\Programme\\Steam\\Steam.exe"="C:\\Programme\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Programme\\Warcraft III\\Warcraft III.exe"="C:\\Programme\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.0"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 16 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\df5639f970beb9dd53a1263e6651362c\BIT3.tmp"

Finished!

2. Benutzerkonto als Administrator

Plagegeister aller Art und deren Bekämpfung: 2. Benutzerkonto als Administrator